Apple: Un malware se propage via des projets Xcode et cible les puces M1

0

Une campagne de logiciels malveillants de Mac ciblant les développeurs de Xcode a été modifiée pour ajouter la prise en charge des nouvelles puces M1 d’Apple et étendre ses fonctionnalités pour voler les informations confidentielles des applications de crypto-monnaie.

XCSSET a été mis à l’honneur en Août 2020 après que les chercheurs aient constaté qu’il se propageait via des projets Xcode modifiés, qui, lors de la conception, ont été configurés pour exécuter une charge utile. Le malware reconditionne les modules de charge utile pour imiter les applications Mac légitimes, qui sont en fin de compte responsables d’infecter les projets Xcode locaux et d’injecter la charge utile principale à exécuter lorsque le projet compromis se construit.

Les modules XCSSET sont disponibles avec les capacités de voler des informations d’identification, faire des captures d’écran, injecter du code javascript malveillant dans les sites Web, piller les données des utilisateurs de différentes applications, et même chiffrer les fichiers pour demander une rançon.

Puis, en Mars 2021, des chercheurs de Kaspersky ont découvert des échantillons XCSSET compilés pour les nouvelles puces M1 d’Apple, suggérant que la campagne de logiciels malveillants était non seulement en cours, mais aussi que les pirates informatiques adaptent activement leurs exécutables pour les faire fonctionner sur les nouveaux Macs d’Apple.

xcode m1

Les dernières recherches de Trend Micro montrent que XCSSET continue d’abuser de la version de développement du navigateur Safari d’Apple pour planter des portes dérobées JavaScript sur des sites Web via des attaques Universal Cross-site Scripting (UXSS).

« Il héberge des paquets de mise à jour Safari dans le serveur [de commande et de contrôle], puis télécharge et installe des paquets pour la version du système d’exploitation de l’utilisateur, » ont déclaré les chercheurs de Trend Micro dans une analyse. « Pour s’adapter à la nouvelle sortie de Big Sur, de nouveaux paquets pour ‘Safari 14’ ont été ajoutés. »

apple mac

En plus de transformer Safari en cheval de Troie pour exfiltrer les données, le malware est également connu pour exploiter le mode de débogage à distance dans d’autres navigateurs tels que Google Chrome, Brave, Microsoft Edge, Mozilla Firefox, Opera, Qihoo 360 Browser, et Yandex Browser pour effectuer des attaques UXSS.

Qui plus est, le malware tente même maintenant de voler des informations de compte de plusieurs sites Web, y compris NNCall.net, Envato et 163.com, et des plates-formes de trading de crypto-monnaie comme Huobi et Binance, avec des fonctionnalités pour remplacer l’adresse dans le portefeuille de crypto-monnaie d’un utilisateur avec ceux sous le contrôle de l’attaquant.

Le mode de distribution de XCSSET via des projets Xcode trafiqués constitue une menace sérieuse, car les développeurs affectés qui partagent leur travail sur GitHub pourraient transmettre le malware à leurs utilisateurs sous la forme de projets Xcode compromis, conduisant à « une attaque de chaîne d’approvisionnement pour les utilisateurs qui utilisent ces référentiels comme dépendances dans leurs propres projets ».

Laisser un commentaire