最近趨勢科技發現一種罕見的感染手法,專門感染 Xcode 開發專案。經過進一步調查之後,我們在某開發人員的 Xcode 專案中發現了原始惡意程式,深入追查之後更找到其他惡意檔案。在這調查過程當中,最值得注意的是我們發現了兩個零時差漏洞攻擊手法:其中一個是利用 Data Vault 的某個缺陷來竊取瀏覽器的 Cookie;另一個則是用來操控開發版本的 Safari 瀏覽器執行惡意行為。
此威脅比尋常,因為其惡意程式碼是注入於本地端 Xcode 專案當中,因此當該專案在產生應用程式時就會執行惡意程式碼,這對 Xcode 開發人員來說尤其特別危險。當我們發現受害的開發人員將其專案分享到 GitHub 之後,此威脅也隨之升高,使用者若將此專用應用到自己的開發專案當中,會造成類似供應鏈攻擊的效果。此外,我們也從 VirusTotal 之類的來源發現到此威脅,表示這項威脅已經擴散開來。
以下摘要說明我們對此威脅的分析結果,詳細攻擊細節請參閱相關技術摘要。首先,我們將此惡意程式命名為「TrojanSpy.MacOS.XCSSET.A」其幕後操縱 (C&C) 相關檔案命名為「 Backdoor.MacOS.XCSSET.A」。
此惡意程式主要經由 Xcode 專案以及從此惡意程式所衍生的應用程式散布。目前還不清楚惡意程式一開始是如何進入被感染的系統,因為照理講這些系統主要開發人員在使用。這些 Xcode 專案已遭修改,因此當專案在產生應用程式時就會執行惡意程式碼,進而使得 XCSSET 的主要惡意程式被植入到受害系統上執行。此外,受害使用者的登入憑證、帳號以及其他重要資料也可能遭竊。
XCSSET 進入受害系統之後可能出現以下行為:
繼續閱讀
