[ad_1]

عکس نمای نزدیک صفحه کلید و نوار ابزار Mac.

محققان می گویند آنها یک کتابخانه Trojan با کد حیات وحش کشف کرده اند که سعی در نصب بدافزار پیشرفته برای نظارت بر Mac های توسعه دهندگان نرم افزار iOS دارد.

این در قالب یک پروژه مخرب بود که مهاجم درباره Xcode ، ابزاری برای توسعه دهنده که اپل آن را آزادانه در دسترس توسعه دهندگان قرار می دهد که برای iOS یا سایر سیستم عامل های اپلیکیشن می نویسند. این پروژه یک کپی از TabBarInteraction بود ، یک پروژه منبع آزاد مجاز که تحریک و تحریک میله های پارتیشن iOS را بر اساس تعامل کاربر برای توسعه دهندگان آسان می کند. پروژه Xcode مخزنی برای تمام پرونده ها ، منابع و اطلاعات مورد نیاز برای ساخت یک برنامه است.

پیاده روی روی پوسته های تخم مرغ

همراه با کد مشروع ، یک اسکریپت مخفی نیز وجود داشت که به “اجرای متن” معروف بود. این اسکریپت ، که هر بار که برنامه نویس شروع به کار می کند ، اجرا می شود ، برای بارگیری و نصب نسخه سفارشی EggShell ، درب پشتی منبع باز که از طریق میکروفون ، دوربین و صفحه کلید بر روی کاربران جاسوسی می کند ، به یک سرور کنترل شده توسط مهاجمان متصل می شود.

محققان SentinelOne ، شرکت امنیتی که پروژه Trojan را کشف کرد ، آن را XcodeSpy نامیدند. آنها می گویند دو نسخه از EggShell سفارشی را که توسط این پروژه مخرب کنار گذاشته شده ، کشف کرده اند. هر دو از طریق رابط وب از ژاپن در VirusTotal بارگذاری شدند ، اولین مورد در تاریخ 5 آگوست گذشته و دیگری در تاریخ 13 اکتبر بعدی.

فیل استوکس ، محقق SentinelOne ، روز پنجشنبه در یک پست وبلاگ نوشت: “نمونه بعدی نیز در اواخر سال 2020 در یک قربانی مک در ایالات متحده پیدا شد.” “به دلایل حفظ حریم خصوصی ، ما قادر به ارائه جزئیات بیشتر در مورد ITW نیستیم [in the wild] حادثه. با این حال ، قربانی گفت که آنها بارها توسط APT توسط بازیگران کره شمالی مورد حمله قرار گرفتند و عفونت به عنوان بخشی از فعالیت های شکار تهدید منظم آنها آشکار شد.

تاکنون محققان این شرکت تنها از یک مورد وحشی از سازمان مستقر در آمریکا مطلع هستند. نشانه های حاصل از تجزیه و تحلیل SentinelOne نشان می دهد که این کمپین “حداقل در ماه های ژوئیه و اکتبر سال 2020 عمل کرده و ممکن است توسعه دهندگان در آسیا را نیز هدف قرار دهد.

توسعه دهندگان مورد حمله

اطلاعیه روز پنجشنبه دو ماه پس از آن منتشر شد كه محققان مایکروسافت و گوگل گفتند هكرهای مورد حمایت دولت كره شمالی به طور فعال در تلاشند رایانه های محققان امنیتی را آلوده كنند. برای جلب اعتماد محققان ، هکرها هفته ها به ساختن کارمندان در توییتر و توسعه روابط آنلاین پرداختند.

سرانجام ، حساب های جعلی توییتر از محققان خواستند تا از اینترنت اکسپلورر برای باز کردن یک صفحه وب استفاده کنند. کسانی که طعمه را در دست گرفته اند متوجه می شوند که دستگاه کاملاً وصله شده ویندوز 10 آنها یک سرویس مخرب و یک درب پشتی را در حافظه نصب کرده است. مایکروسافت هفته گذشته این آسیب پذیری را وصله کرد.

هکرها علاوه بر استفاده از حمله سوراخ ، یک پروژه ویژوال استودیو را نیز برای هدف قرار دادن توسعه دهندگان ارسال کردند که گفته می شود شامل کد منبع سو explo استفاده با اثبات مفهوم است. این پروژه بدافزار مخفی را که به سرور کنترل مهاجمان متصل است پنهان می کند.

سو mal نیت پنهانی

توسعه دهندگان باتجربه مدت هاست می دانند که بررسی اسکریپت های اجرای مخرب قبل از استفاده از یک پروژه Xcode شخص ثالث چقدر مهم است. در حالی که یافتن اسکریپت ها کار دشواری نیست ، XcodeSpy سعی کرد رمزگذاری اسکریپت را دشوارتر کند.

SentinelOne

هنگام رمزگشایی ، مشخص بود که اسکریپت به صورت سرور به یک سرور متصل شده است[.]من دستور مرموز mdbcmd را از طریق پوسته معکوس درون سرور ارسال کردم.

SentinelOne

تنها هشداری که سازنده پس از شروع پروژه Xcode دریافت خواهد کرد چیزی است که به این شکل است:

پاتریک واردل

SentinelOne اسکریپتی را فراهم می کند که یافتن اسکریپت های Run را در پروژه های خود برای توسعه دهندگان آسان می کند. پست پنجشنبه همچنین شاخص های داد و ستد را ارائه می دهد تا به توسعه دهندگان کمک کند تا بفهمند هدف قرار گرفته اند یا آلوده شده اند.

بردار برای سوice نیت

این اولین بار نیست که Xcode در حمله بدافزار استفاده می شود. در ماه اوت گذشته ، محققان از پروژه های Xcode بصورت آنلاین که بهره برداری های جاسازی شده برای دو آسیب پذیری Safari در روز صفر را رونمایی کردند ، رونمایی کردند. به محض افتتاح و ساخت یکی از پروژه های XCSSET ، تجزیه و تحلیل TrendMicro نشان داد که این کد مخرب روی Mac توسعه دهندگان کار می کند.

و در سال 2015 ، محققان 4000 برنامه iOS را که به XcodeGhost آلوده بودند ، کشف کردند ، نامی که به نسخه تقلبی Xcode که عمدتا در آسیا منتشر می شود ، داده شده است. برنامه های کامپایل شده با XcodeGhost می توانند توسط مهاجمین برای خواندن و نوشتن در کلیپ بورد دستگاه ، باز کردن URL های خاص و بازیابی اطلاعات استفاده شوند.

برخلاف XcodeGhost که برنامه ها را آلوده می کند ، XcodeSpy هدف توسعه دهندگان است. با توجه به کیفیت مانیتورینگ درب پشتی XcodeSpy نصب شده ، مهاجمان پرونده زیادی برای تحویل بدافزار به کاربران نرم افزار توسعه دهنده نخواهند داشت.

استوکس از SentinelOne نوشت: “سناریوهای دیگری با چنین قربانیان با ارزش بالا وجود دارد.” “مهاجمان می توانند به سادگی اهداف جالب را جستجو کنند و داده ها را برای فعالیت های آینده جمع آوری کنند ، یا سعی کنند مدارک AppleID را برای استفاده در سایر کمپین هایی که از نرم افزار مخرب با امضاهای کد معتبر Apple Developer استفاده می کنند ، جمع آوری کنند. این پیشنهادها نه امکانات را به اتمام می رسانند و نه برای یکدیگر جدا هستند. “

[ad_2]

منبع: tarjome-news.ir