Los atacantes están haciendo un gran esfuerzo para hacer puertas traseras a las Mac de los desarrolladores de iOS

Fotografía en primer plano del teclado y la barra de herramientas de Mac.

Los investigadores dijeron que han encontrado una biblioteca de código troyano en la naturaleza que intenta instalar malware de vigilancia avanzada en las Mac de los desarrolladores de software iOS.

Llegó en forma de un proyecto malicioso que el atacante escribió para Xcode, una herramienta de desarrollo que Apple pone a disposición de los desarrolladores que escriben aplicaciones para iOS u otro sistema operativo de Apple. El proyecto era una copia de TabBarInteraction, un proyecto legítimo de código abierto que facilita a los desarrolladores la animación de las barras de pestañas de iOS en función de la interacción del usuario. Un proyecto de Xcode es un repositorio de todos los archivos, recursos e información necesarios para crear una aplicación.

Caminando sobre cáscaras de huevo

Junto al código legítimo había una secuencia de comandos ofuscada, conocida como “Ejecutar secuencia de comandos”. El script, que se ejecutaba cada vez que se lanzaba la compilación del desarrollador, se puso en contacto con un servidor controlado por un atacante para descargar e instalar una versión personalizada de Cáscara de huevo, una puerta trasera de código abierto que espía a los usuarios a través de su micrófono, cámara y teclado.

Los investigadores de SentinelOne, la empresa de seguridad que descubrió el proyecto troyano, lo llamaron XcodeSpy. Dicen que han descubierto dos variantes del EggShell personalizado que dejó el proyecto malicioso. Ambos se cargaron en VirusTotal utilizando la interfaz web de Japón, el primero el 5 de agosto pasado y el segundo el 13 de octubre siguiente.

“La última muestra también se encontró en estado salvaje a fines de 2020 en la Mac de una víctima en los Estados Unidos”, escribió el investigador de SentinelOne, Phil Stokes, en una publicación de blog. jueves

. “Por razones de confidencialidad, no podemos proporcionar más detalles sobre la ITW [in the wild] incidente. Sin embargo, la víctima informó que son atacados repetidamente por actores de APT norcoreanos y que la infección salió a la luz como parte de sus actividades habituales de caza de amenazas ”.

Hasta ahora, los investigadores de la compañía conocen solo un caso en la naturaleza, de una organización con sede en EE. UU. Las indicaciones del análisis de SentinelOne sugieren que la campaña estuvo “en funcionamiento al menos entre julio y octubre de 2020 y también puede haber estado dirigida a desarrolladores en Asia”.

Desarrolladores bajo ataque

La publicación del jueves se produjo dos meses después de que investigadores de Microsoft y Google dijeron que los piratas informáticos respaldados por el gobierno de Corea del Norte intentaban activamente infectar las computadoras de los investigadores de seguridad. Para ganarse la confianza de los investigadores, los piratas informáticos pasaron semanas creando perfiles de Twitter y desarrollando relaciones de trabajo en línea.

Finalmente, los perfiles falsos de Twitter pidieron a los investigadores que usaran Internet Explorer para abrir una página web. Aquellos que mordieron el anzuelo encontrarían que su máquina con Windows 10 completamente parcheada instaló un servicio malicioso y una puerta trasera en la memoria. Microsoft corrigió la vulnerabilidad la semana pasada.

Además de usar el ataque del pozo de agua, los piratas informáticos también enviaron a los desarrolladores específicos un proyecto de Visual Studio que supuestamente contenía código fuente para un exploit de prueba de concepto. Escondido dentro del proyecto había malware personalizado que se puso en contacto con el servidor de control de los atacantes.

Malicia ofuscada

Los desarrolladores experimentados conocen desde hace mucho tiempo la importancia de comprobar la presencia de Run Scripts maliciosos antes de utilizar un proyecto de Xcode de terceros. Si bien detectar los scripts no es difícil, XcodeSpy intentó hacer el trabajo más difícil codificando el script.

SentinelOne

Cuando se descodificó, quedó claro que el script se puso en contacto con un servidor en cralev[.]me y envié el misterioso comando mdbcmd a través de un shell inverso integrado en el servidor.

SentinelOne

La única advertencia que recibiría un desarrollador después de ejecutar el proyecto Xcode sería algo parecido a esto:

Patrick Wardle

SentinelOne proporciona un script que facilita a los desarrolladores encontrar Run Scripts en sus proyectos. La publicación del jueves también proporciona indicadores de compromiso para ayudar a los desarrolladores a determinar si han sido atacados o infectados.

Un vector de malicia

No es la primera vez que se utiliza Xcode en un ataque de malware. En agosto pasado, los investigadores descubrieron proyectos de Xcode disponibles en línea que incorporaron exploits para lo que en ese momento eran dos vulnerabilidades de día cero de Safari. Tan pronto como se abrió y construyó uno de los proyectos XCSSET, se Análisis TrendMicro encontrado, el código malicioso se ejecutaría en las Mac de los desarrolladores.

Y en 2015, los investigadores encontraron 4.000 aplicaciones de iOS que habían sido infectadas por XcodeGhost, el nombre dado a una versión alterada de Xcode que circulaba principalmente en Asia. Los atacantes podrían utilizar las aplicaciones compiladas con XcodeGhost para leer y escribir en el portapapeles del dispositivo, abrir URL específicas y exfiltrar datos.

A diferencia de XcodeGhost, que infectó aplicaciones, XcodeSpy apuntó a los desarrolladores. Dada la calidad de la puerta trasera de vigilancia que instaló XcodeSpy, no sería muy difícil para los atacantes eventualmente entregar también malware a los usuarios del software del desarrollador.

“Hay otros escenarios con víctimas tan valiosas”, escribió Stokes de SentinelOne. “Los atacantes podrían simplemente estar rastreando objetivos interesantes y recopilando datos para campañas futuras, o podrían estar intentando recopilar credenciales de AppleID para usar en otras campañas que usan malware con firmas de código de desarrollador de Apple válidas. Estas sugerencias no agotan las posibilidades, ni son mutuamente excluyentes ”.

Leave a Reply

Your email address will not be published. Required fields are marked *