Κυριακή, 21 Φεβρουαρίου, 17:03
Αρχική security Κακόβουλο λογισμικό Mac εξαπλώνεται μέσω των Xcode projects

Κακόβουλο λογισμικό Mac εξαπλώνεται μέσω των Xcode projects

Τα Xcode projects αξιοποιούνται για τη διάδοση μιας μορφής κακόβουλου λογισμικού Mac που ειδικεύεται στην παραβίαση του Safari και άλλων προγραμμάτων περιήγησης.

Η οικογένεια κακόβουλων προγραμμάτων XCSSET έχει βρεθεί σε Xcode projects, “οδηγεί σε μια τρύπα κακόβουλων ωφέλιμων φορτίων”, δήλωσε η Trend Micro την Πέμπτη.

Σε ένα έγγραφο (.PDF) που εξερευνά το κύμα των επιθέσεων, οι ερευνητές της κυβερνοασφάλειας ανέφεραν ότι μια «ασυνήθιστη» μόλυνση σε ένα project ενός προγραμματιστή περιλάμβανε επίσης την ανακάλυψη δύο ευπαθειών zero-day.

Xcode

Το Xcode είναι ένα δωρεάν ολοκληρωμένο περιβάλλον ανάπτυξης (IDE) που χρησιμοποιείται σε macOS για την ανάπτυξη λογισμικού και εφαρμογών που σχετίζονται με την Apple.

Παρόλο που δεν είναι ακόμη σαφές πώς το XCSSET “κατευθύνεται” σε Xcode projects, η Trend Micro λέει ότι μόλις ενσωματωθεί, το κακόβουλο λογισμικό εκτελείται όταν δημιουργείται ένα project.

«Προφανώς, αυτά τα συστήματα θα χρησιμοποιούνται κυρίως από προγραμματιστές», σημείωσε η ομάδα. “Αυτά τα Xcode projects έχουν τροποποιηθεί έτσι ώστε να εκτελούν κακόβουλο κώδικα. Αυτό τελικά οδηγεί στην εισαγωγή και την εκτέλεση του κύριου κακόβουλου λογισμικού XCSSET στο επηρεαζόμενο σύστημα.”

Ορισμένοι προγραμματιστές που έχουν επηρεαστεί έχουν μοιραστεί τα projects τους στο GitHub, το οποίο οι ερευνητές λένε ότι θα μπορούσε να οδηγήσει σε “επιθέσεις τύπου αλυσίδας εφοδιασμού για χρήστες που βασίζονται σε αυτά τα αποθετήρια ως εξαρτήσεις στα δικά τους project.”

Μόλις βρεθεί σε ένα ευάλωτο σύστημα, το XCSSET ενισχύει τα προγράμματα περιήγησης, συμπεριλαμβανομένης της έκδοσης του Safari, χρησιμοποιώντας τρωτά σημεία για να κλέψει τα δεδομένα του χρήστη.

Στην περίπτωση του Safari, το πρώτο από τα δύο σφάλματα είναι ένα ελάττωμα στο Data Vault. Βρέθηκε μια μέθοδο παράκαμψης που παρακάμπτει την macOS προστασία που εφαρμόζεται για αρχεία cookie Safari μέσω SSHD.

Η δεύτερη ευπάθεια οφείλεται στον τρόπο λειτουργίας του Safari WebKit. Κανονικά, για την εκκίνηση του κιτ απαιτείται από τον χρήστη να υποβάλει τον κωδικό πρόσβασής του, αλλά βρέθηκε παράκαμψη που μπορεί να χρησιμοποιηθεί για την εκτέλεση κακόβουλων λειτουργιών μέσω του προγράμματος περιήγησης Safari που δεν διαθέτει sandbox. Φαίνεται επίσης δυνατό να εκτελεστεί hijacking Dylib.

Τα ζητήματα ασφαλείας επιτρέπουν την ανάγνωση και την απόρριψη των cookie Safari και αυτά τα πακέτα δεδομένων χρησιμοποιούνται στη συνέχεια για την έγχυση backdoors που βασίζονται σε JavaScript σε εμφανιζόμενες σελίδες μέσω μιας επίθεσης Universal Cross-site Scripting (UXSS).

Η Trend Micro πιστεύει ότι το στοιχείο UXSS της αλυσίδας επίθεσης θα μπορούσε να χρησιμοποιηθεί όχι μόνο για την κλοπή γενικών πληροφοριών χρήστη, αλλά και ως μέσο τροποποίησης περιόδων σύνδεσης προγράμματος περιήγησης για εμφάνιση κακόβουλων ιστότοπων, αλλαγής διευθύνσεων πορτοφολιού κρυπτογράφησης, συλλογής πληροφοριών πιστωτικής κάρτας Apple Store και κλοπής credentials από πηγές όπως το Apple ID, το Google, το Paypal και το Yandex.

Το κακόβουλο λογισμικό μπορεί επίσης να κλέψει μια ποικιλία άλλων δεδομένων χρήστη, όπως το περιεχόμενο Evernote και την επικοινωνία από εφαρμογές Skype, Telegram, QQ και WeChat.

Επιπλέον, το XCSSET μπορεί να τραβήξει στιγμιότυπα οθόνης, να διεκπεραιώσει δεδομένα και να στείλει κλεμμένα αρχεία σε έναν διακομιστή εντολών και ελέγχου (C2), και επίσης περιέχει μια μονάδα ransomware για κρυπτογράφηση αρχείων και εκβιαστικά μηνύματα.

Βρέθηκαν μόνο δύο Xcode projects που φιλοξενούν το κακόβουλο λογισμικό, μαζί με 380 IP θυμάτων – τα περισσότερα από τα οποία βρίσκονται στην Κίνα και την Ινδία – αλλά ο φορέας μόλυνσης εξακολουθεί να είναι σημαντικός.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Πώς θα προσθέσετε ειδικά εφέ στα μηνύματα του Instagram

Γνωρίζατε ότι μπορείτε να κάνετε τα άμεσα μηνύματα του Instagram πιο εντυπωσιακά; Όπως κάθε άλλη δυνατότητα του Instagram, μπορείτε να προσθέσετε ειδικά...

Μόνο 270 διευθύνσεις είναι υπεύθυνες για το 55% του συνόλου της νομιμοποίησης εσόδων από παράνομες δραστηριότητες

Οι κυβερνοεγκληματίες που διατηρούν τα χρήματά τους σε κρυπτονομίσματα τείνουν να «ξεπλένουν» χρήματα μέσω ενός μικρού συνόλου διαδικτυακών υπηρεσιών, σύμφωνα με την...

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...

Ποιες είναι οι 6 πιο γνωστές επιθέσεις σε gaming εταιρείες;

Πριν μερικές ημέρες, η εταιρεία gaming Big Huge Games ενημέρωσε τους παίκτες ότι υπήρξε θύμα μιας επίθεσης, η οποία επηρέασε δεδομένα της...