VietBF

VietBF (https://www.vietbf.com/forum/index.php)
-   Computer News|Tin Vi Tính (https://www.vietbf.com/forum/forumdisplay.php?f=180)
-   -   Mă độc Xcode hướng tới mục tiêu đến các nhà phát triển iOS (https://www.vietbf.com/forum/showthread.php?t=1449471)

nguoiduatinabc 03-24-2021 03:47

Mă độc Xcode hướng tới mục tiêu đến các nhà phát triển iOS
 
2 Attachment(s)
Theo các chuyên gia an ninh mạng quốc tế cho biết. Họ vừa phát đi thông báo khẩn về một dự án Xcode độc hại có tên gọi là XcodeSpy. Mă độc này hiện đang nhắm mục tiêu tới các nhà phát triển phần mềm iOS trong một cuộc tấn công chuỗi cung ứng (supply-chain attack). Mục đích chính là cài đặt một backdoor trên máy tính macOS của nhà phát triển để phục vụ các hoạt động độc hại sau này.

Nếu mọi người chưa biết th́ Xcode là một môi trường phát triển ứng dụng miễn phí do Apple tạo ra và tích hợp sẵn trên hệ điều hành Mac. Xcode cho phép các nhà phát triển tạo các ứng dụng chạy trên macOS, iOS, tvOS và watchOS.

Cũng giống như nhiều môi trường phát triển ứng dụng khác, các nhà phát triển trên Xcode thường tạo ra những dự án chuyên biệt để thực hiện các chức năng cụ thể. Những dự án này sau đó có thể được chia sẻ trực tuyến để các nhà phát triển khác có thể đóng góp hoặc tận dụng để tạo ra sản phẩm của riêng ḿnh.

Lợi dụng thực tế này, kẻ tấn công đang ngày càng tích cực tạo ra các dự án độc hại, giả mạo, với hy vọng rằng chúng có thể được đưa vào các ứng dụng của những nhà phát triển khác. Khi các ứng dụng đó được biên dịch, thành phần độc hại sẽ lây nhiễm vào máy tính của nhà phát triển trong một cuộc tấn công chuỗi cung ứng điển h́nh.

Các nhà nghiên cứu đến từ công ty an ninh mạng SentinelOne đă phát hiện ra một phiên bản độc hại của dự án iOS TabBarInteraction Xcode hợp pháp, hiện đang được phát tán trong một cuộc tấn công chuỗi cung ứng.

Là một phần của cuộc tấn công, kẻ tấn công đă nhân bản dự án TabBarInteraction hợp pháp và thêm một tập lệnh 'Run Script' độc hại khó hiểu vào dự án, như được hiển thị bên dưới. Phiên bản độc hại này của TabBarInteraction đă được SentinelOne đặt tên là 'XcodeSpy'.

https://www.intermati.com/forum/atta...1&d=1616557591

Khi dự án được xây dựng, Xcode sẽ tự động thực thi Run Script để mở một tŕnh shell từ xa trở lại máy chủ của kẻ tấn công. Máy chủ này có tên cralev.me.

“Tập lệnh sẽ tạo một tệp ẩn có tên .tag trong thư mục/tmp, chứa một lệnh duy nhất: mdbcmd. Sau đó, nó sẽ được chuyển qua một shell, đưa ngược lại đến máy chủ C2 của những kẻ tấn công", chuyên gia bảo mật Phil Stokes của SentinelOne giải thích trong một báo cáo mới.

https://www.intermati.com/forum/atta...1&d=1616557639

Vào thời điểm SentinelOne phát hiện ra dự án độc hại này, máy chủ C2 đă không c̣n khả dụng nên không rơ những hành động nào đă được thực hiện thông qua shell tương tác ngược này.

Tuy nhiên, các nhà nghiên cứu đă phát hiện ra hai mẫu phần mềm độc hại được tải lên VirusTotal có chứa cùng một chuỗi "/private/tmp/.tag". Điều đó có thể chỉ ra rằng chúng là một phần của cuộc tấn công này.

“Vào thời điểm phát hiện ra dự án Xcode độc hại, máy chủ C2 cralev[.]me đă ngoại tuyến. V́ vậy không thể xác định trực tiếp kết quả của lệnh mdbcmd. Tuy nhiên, may mắn thay, có hai mẫu backdoor EggShell trên VirusTotal có chứa chuỗi Telltale XcodeSpy /private/tmp/.tag”.

Backdoor EggShell cho phép các tác nhân đe dọa upload và download tệp, thực thi lệnh, cũng như ŕnh ṃ hoạt động trên micro, máy ảnh và bàn phím của nạn nhân.

Hiện tại, vẫn chưa rơ dự án Xcode độc hại này đă được phát tán như thế nào.


All times are GMT. The time now is 03:50.

VietBF - Vietnamese Best Forum Copyright ©2006 - 2024
User Alert System provided by Advanced User Tagging (Pro) - vBulletin Mods & Addons Copyright © 2024 DragonByte Technologies Ltd.

Page generated in 0.04025 seconds with 9 queries