Malware XcodeSpy

Se ha observado que los ciberdelincuentes se inclinan hacia el lanzamiento constante de ataques a la cadena de suministro, ya que esta campaña amenazante les permite llegar a numerosas víctimas potenciales mientras tienen que comprometer una entidad inicial singular. Los investigadores de infosec han descubierto una campaña de ataque lanzada contra los desarrolladores de Apple. Los actores de amenazas aprovechan la función Ejecutar script disponible en el IDE de Xcode de Apple para difundir un proyecto de Xcode troyanizado. El nombre que se le da a la nueva amenaza es el malware XcodeSpy. XcodeSpy es un proyecto de Xcode amenazante que está diseñado para establecer una puerta trasera EggShell en el sistema macOS comprometido, al mismo tiempo que crea un mecanismo persistente para garantizar su presencia prolongada allí. Los piratas informáticos inyectaron el malware XcodeSpy en un proyecto legítimo de código abierto llamado TabBarInteraction que está disponible en GitHub. El legítimo proyecto TabBarInteraction Xcode brinda a los desarrolladores acceso a funciones avanzadas al animar la barra de pestañas de iOS y su interacción con el usuario. Sin embargo, la versión amenazadora que lleva XcodeSpy se ha modificado para ejecutar un script de ejecución ofuscado que se inicia cada vez que se lanza el objetivo de compilación del desarrollador. A su vez, el script corrupto contacta con la infraestructura de Comando y Control (C2, C&C) configurada por los atacantes y obtiene una variante personalizada de la puerta trasera EggShell. Tras su ejecución, la primera acción de la puerta trasera es crear un mecanismo de persistencia. Dejará caer un LauncherAgent en una de dos ubicaciones: ~ / Library / LaunchAgents / com.apple.usagestatistics.plist o ~ / Library / LaunchAgents / com.apple.appstore.checkupdate.plist. El 'plist' realizará una verificación para determinar si el ejecutable original se está ejecutando. Si el resultado es negativo, buscará y ejecutará una copia del archivo desde una versión llamada 'maestra' ubicada en ~ / Library / Application Support / com.apple.AppStore / .update. La puerta trasera EggShell procederá a iniciar su función principal: espiar a la víctima objetivo. La amenaza puede crear grabaciones desde el micrófono, la cámara y el teclado del usuario. Todos los datos recopilados se filtrarán a un servidor remoto. La puerta trasera también permite al actor de la amenaza colocar archivos adicionales en el sistema comprometido. Si bien las técnicas empleadas por XcodeSpy no son tan sofisticadas, podrían replicarse para ejecutar scripts comprometidos en cualquier proyecto Xcode compartido fácilmente. Se recomienda a los desarrolladores de Apple que verifiquen cualquier proyecto de Xcode de terceros que planeen adoptar para detectar la presencia de Run Scripts sospechosos o amenazantes.