Специалисты по безопасности из Trend Micro обнаружили новый вид вредоносного ПО для Mac, которое может «управлять» целевой системой.
Исследователи описали вредоносное ПО, являющееся частью семейства XCSSET, как «необычное заражение, связанное с проектами разработчиков Xcode». Вредоносное ПО необычно тем, что оно внедряется в проекты Xcode, и при сборке проекта запускается вредоносный код. Было обнаружено, что проект Xcode разработчика может содержать вредоносное ПО, что «приводит к лавине вредоносных полезных нагрузок».
Это открытие представляет значительный риск для разработчиков Xcode. Trend Micro выявила затронутых вредоносным ПО разработчиков, которые делятся своими проектами через GitHub, что создает потенциальную атаку на цепочку поставок для пользователей, полагающихся на репозитории для своих собственных проектов. Сканирующее ПО Google VirusTotal смогло идентифицировать вредоносное ПО, что указывает на широкое распространение угрозы.
Вредоносное ПО распространяется через зараженные проекты Xcode, поскольку оно может создавать злонамеренно модифицированные приложения. В частности, было обнаружено, что вредоносное ПО способно злоупотреблять Safari и другими браузерами для кражи данных. Оно может использовать уязвимость для чтения и выгрузки файлов cookie, создания бэкдоров на JavaScript, а также, в свою очередь, изменять отображаемые веб-сайты, красть конфиденциальную банковскую информацию, блокировать изменение паролей и красть вновь измененные пароли. Также было обнаружено, что оно может красть информацию из таких приложений, как Evernote, Notes, Skype, Telegram, QQ и WeChat, делать снимки экрана, загружать файлы на указанный злоумышленником сервер, шифровать файлы и отображать записку с требованием выкупа.
Затронутые разработчики могут неосознанно распространять троян среди своих пользователей в виде скомпрометированных проектов Xcode и созданных приложений. Вредоносное ПО особенно опасно, поскольку методы проверки, такие как проверка хешей, не выявляют заражения, так как разработчики не будут знать, что они распространяют вредоносные файлы.
Чтобы защититься от такого типа угроз, Trend Micro рекомендует пользователям загружать приложения только из официальных магазинов и рассматривать многоуровневые решения безопасности.
