Malware geïnjecteerd in Xcode-projecten kan de Mac App Store infiltreren

Vorige week rapporteerden we over een ernstig nieuw soort Mac-malware waarvan is vastgesteld dat deze via Xcode infecteert, ontdekt door beveiligingsonderzoekers op Trend Micro .

In een exclusief interview met Eeuwig , hebben de beveiligingsonderzoekers achter de ontdekking, Oleksandr Shatkivskyi en Vlad Felenuik, meer informatie verstrekt over hun onderzoek.

De malware, die deel uitmaakt van de XCSSET-familie, is een 'ongewone infectie' die wordt geïnjecteerd in Xcode-projecten. Wanneer het project is gebouwd, wordt de schadelijke code uitgevoerd. Dit kan leiden tot 'een konijnenhol van kwaadaardige payloads' en vormt een aanzienlijk risico voor Mac-gebruikers.

In het bijzonder bleek de malware in staat te zijn Safari en andere browsers te misbruiken om gegevens te stelen. Het kan een kwetsbaarheid gebruiken om cookies te lezen en te dumpen, backdoors in JavaScript te creëren en op zijn beurt weergegeven websites aan te passen, private banking-informatie en wachtwoorden te stelen en wachtwoordwijzigingen te blokkeren. Het bleek ook in staat om informatie te stelen van apps zoals Evernote, Notes, Skype, Telegram, QQ en WeChat, schermafbeeldingen te maken, bestanden te uploaden naar de opgegeven server van de aanvaller, bestanden te versleutelen en een losgeldbrief weer te geven.

Shatkivskyi en Felenuik vertelden: Eeuwig dat ze denken dat de XCSSET-malware extreem veel voorkomt onder kwaadwillenden die Mac-systemen willen misbruiken. De malware is bijzonder gevaarlijk omdat verificatiemethoden, zoals het controleren van hashes, de infectie niet zouden identificeren. Het bleek aanwezig te zijn in projecten die op GitHub werden gedeeld. Dit betekent dat ontwikkelaars die afhankelijk zijn van repositories, te maken kunnen krijgen met een supply chain-aanval en niet weten dat hun project geïnfecteerd is geraakt.

Xcode-projecten die met de malware zijn geïnfecteerd, kunnen kwaadwillig gewijzigde toepassingen creëren, buiten medeweten van de ontwikkelaars die de apps maken, en deze vervolgens als trojans verspreiden. Shatkivskyi en Felenuik zijn van mening dat het beoordelingsteam van de Mac App Store grotendeels niet in staat zal zijn om apps te detecteren die de XCSSET-malware bevatten. 'Als iOS-ontwikkelaar weet ik hoe gemakkelijk het is om ze voor de gek te houden en een app met verborgen functies uit te brengen', zei Shatkivskyi.

Shatkivskyi en Felenuik benaderden Apple al in december 2019 voor het eerst over het probleem, en ze hopen dat Apple besluitvaardig en snel zal reageren op het oplossen van de kwetsbaarheid. Ze suggereren dat Apple privacymeldingen zou kunnen implementeren, zoals iOS 14 en iPadOS 14, om Mac-gebruikers te waarschuwen wanneer de malware actief is op hun systemen, in een poging gebruikers expliciet te waarschuwen voor een mogelijke inbreuk.

Shatkivskyi en Felenuik hadden geen toegang tot een Mac Developer Transition Kit met Appel Silicium om te testen, maar ze geloven dat 'er geen twijfel over bestaat dat de malware zal werken' op draaiende Macs Appel Silicium . Ondanks de ernst van de XCSSET-malware, houden ze vol dat macOS een veilig besturingssysteem is en zijn ze optimistisch over de toekomst van de bestrijding van malware.

'Apple heeft nog wat werk te doen, maar macOS is nog steeds het veiligste platform dat beschikbaar is. Ik ben verheugd over hoe Apple staat voor privacy. Ik ben er echter zeker van dat de ontwikkeling van malware in de toekomst bijna onmogelijk zal worden. Maar het heeft niets te maken met de Mac-overgang naar Apple silicium.'

In de toekomst waarschuwen de onderzoekers Mac-gebruikers om alert te zijn op ongebruikelijke activiteiten met toestemmingswaarschuwingen. Herhaalde of verdachte meldingen die om toestemming vragen voor macOS kunnen een indicatie zijn van een infectie. Trend Micro moedigt gebruikers aan om meerlaagse beveiligingsoplossingen te overwegen.

'Om veilig te blijven, moet je enigszins paranoïde zijn. Sta niet toe dat een app uw scherm opneemt. Let ook op wat er op uw Mac draait. Ik gebruik nooit illegale software vanwege de onveiligheid, ik gebruik alleen gelicentieerde software', zei Shatkivskyi.

Het paar blijft actief onderzoek doen naar andere bedreigingen voor macOS.