image

Malware in Xcode-projecten steelt wachtwoorden macOS-ontwikkelaars

vrijdag 14 augustus 2020, 14:45 door Redactie, 9 reacties

Onderzoekers hebben malware ontdekt die zich via Xcode-projecten verspreidt en wachtwoorden, cookies en andere data van ontwikkelaars op macOS probeert te stelen, alsmede een backdoor op systemen opent. Dat laat antivirusbedrijf Trend Micro in een analyse weten. Xcode is een ontwikkelomgeving voor macOS waarmee ontwikkelaars Apple-gerelateerde software kunnen ontwikkelen.

Xcode-projecten bestaan uit verschillende bestanden. Onderzoekers van antivirusbedrijf Trend Micro ontdekten verschillende Xcode-projecten waar kwaadaardige code aan was toegevoegd. Bij het compileren van de projecten werd de malware waarschijnlijk uitgevoerd, aldus de onderzoekers. Getroffen ontwikkelaars deelden hun besmette Xcode-projecten via GitHub, waar ze weer door andere ontwikkelaars werden gedownload.

Eenmaal actief steelt de malware informatie van Evernote, Notes, Skype, Telegram, QQ en WeChat, maakt screenshots van het scherm en gebruikt een kwetsbaarheid in Safari om cookies te stelen. Daarnaast gebruikt de malware de ontwikkelversie van Safari om JavaScript-backdoors aan websites toe te voegen. Deze JavaScript-code kan bitcoin-adressen aanpassen, inloggegevens voor Apple, Google, PayPal en Yandex stelen, alsmede creditcardgegevens uit de Apple Store. Verder voorkomt de JavaScript-code dat de gebruiker zijn wachtwoorden wijzigt en worden er screenshots van bepaalde websites gemaakt.

De malware controleert ook of inloggen via SSH op het systeem staat ingeschakeld. Wanneer dit niet het geval is schakelt de malware dit in. De onderzoekers merken op dat hiervoor wel authenticatie door de gebruiker is vereist. Vervolgens probeert de malware een SSH-key te vinden of genereren en uploadt die naar een server, zodat de aanvaller op afstand via SSH en de SSH-key op de machine van de getroffen ontwikkelaar kan inloggen.

Wat ook opvalt is dat de malware een Safari-update downloadt en installeert en vervolgens een onbekende kwetsbaarheid gebruikt om toegang tot de door Safari opgeslagen cookies te krijgen. Daarnaast installeert de malware een ontwikkelversie van Safari, die in plaats van de al aanwezige Safari-versie wordt geladen. Het doel van de "nep-Safari" is het injecteren van JavaScript in websites. Zo is het mogelijk om websites te manipuleren, inloggegeven te stelen, screenshots te maken en bijvoorbeeld de downloadlink van Google Chrome aan te passen.

Verder probeert de malware andere Xcode-projecten op het systeem te infecteren. Hoe de malware initieel op de ontwikkelsystemen terechtkomt is op dit moment onbekend. De onderzoekers vonden in totaal twee besmette Xcode-projecten die door 380 ontwikkelaars waren gedownload. Het grootste deel daarvan is afkomstig uit China en India.

"Deze verspreidingsmethode kan alleen worden omschreven als slim. Getroffen ontwikkelaars zullen nietsvermoedend de malware in de vorm van gecompromitteerde Xcode-projecten onder hun gebruikers verspreiden, en methodes om het aangeboden bestand te verifiëren, zoals het controleren van de hashes, zullen niet helpen, aangezien de ontwikkelaars niet weten dat ze kwaadaardige bestanden verspreiden", aldus de onderzoekers van Trend Micro.

Reacties (9)
14-08-2020, 15:38 door Anoniem
Dat is vervelend, want de virusscanners detecteren de malware maar wat slecht.
https://www.virustotal.com/gui/file/6614978ab256f922d7b6dbd7cc15c6136819f4bcfb5a0fead480561f0df54ca6/detection
In sommige gevallen slaat de sandbox van OSX alarm en waarschuwt voor een EVADER.
14-08-2020, 18:04 door Anoniem
Door Anoniem: Dat is vervelend, want de virusscanners detecteren de malware maar wat slecht.
https://www.virustotal.com/gui/file/6614978ab256f922d7b6dbd7cc15c6136819f4bcfb5a0fead480561f0df54ca6/detection
In sommige gevallen slaat de sandbox van OSX alarm en waarschuwt voor een EVADER.

Iedereen heeft ook een virusscanner op MacOS ?
Ooit werd toch gezegd dat dit niet nodig was op dit besturingsysteem ;-)
14-08-2020, 21:34 door jh81
Door Anoniem:
Door Anoniem: Dat is vervelend, want de virusscanners detecteren de malware maar wat slecht.
https://www.virustotal.com/gui/file/6614978ab256f922d7b6dbd7cc15c6136819f4bcfb5a0fead480561f0df54ca6/detection
In sommige gevallen slaat de sandbox van OSX alarm en waarschuwt voor een EVADER.

Iedereen heeft ook een virusscanner op MacOS ?
Ooit werd toch gezegd dat dit niet nodig was op dit besturingsysteem ;-)

OOIT werd ook gezegd dat 640kb genoeg was..
14-08-2020, 21:48 door Anoniem
Door Anoniem:
Door Anoniem: Dat is vervelend, want de virusscanners detecteren de malware maar wat slecht.
https://www.virustotal.com/gui/file/6614978ab256f922d7b6dbd7cc15c6136819f4bcfb5a0fead480561f0df54ca6/detection
In sommige gevallen slaat de sandbox van OSX alarm en waarschuwt voor een EVADER.

Iedereen heeft ook een virusscanner op MacOS ?
Ooit werd toch gezegd dat dit niet nodig was op dit besturingsysteem ;-)

En dat is humor? OSX MacOS i idd nog steeds beter beveiligd dan dat andere OS. Dat het nu lekt via een applicatie is slordig en slecht. Wordt vast snel gefikst, mijn Pro's kregen vandaag een verse versie van MacOS, ... Apple hè!! Pffff ... ga lekker klieren op Autoweek, je rijdt vast VW of Audi.
14-08-2020, 21:51 door Briolet
Een deel van de code werkt alleen als de gebruiker onder een administrator account werkt. Dit omdat een gewone user geen 'sudo' command mag uitvoeren.

Ik vraag ma af waarom een programmeur onder een administrator accont werkt. Ik doe al zeker 10 jaar alles onder een user account en ben maar een paar keer per jaar genoodzaakt om als administrator in te loggen. (Eigenlijk alleen bij code waar ik echt een sudo command nodig heb.)

Dat neemt niet weg dat het een indrukwekkend en doordacht stuk programmeerwerk is. Er zit blijkbaar alleen een test in voor de Mojave verse van Safari. Blijkbaar is dit al weer een tijdje geleden geschreven.
15-08-2020, 09:21 door [Account Verwijderd]
Door jh81:
Door Anoniem:
Door Anoniem: Dat is vervelend, want de virusscanners detecteren de malware maar wat slecht.
https://www.virustotal.com/gui/file/6614978ab256f922d7b6dbd7cc15c6136819f4bcfb5a0fead480561f0df54ca6/detection
In sommige gevallen slaat de sandbox van OSX alarm en waarschuwt voor een EVADER.

Iedereen heeft ook een virusscanner op MacOS ?
Ooit werd toch gezegd dat dit niet nodig was op dit besturingsysteem ;-)

OOIT werd ook gezegd dat 640kb genoeg was..

en

Door Briolet: Een deel van de code werkt alleen als de gebruiker onder een administrator account werkt. Dit omdat een gewone user geen 'sudo' command mag uitvoeren.

Ik vraag ma af waarom een programmeur onder een administrator accont werkt. Ik doe al zeker 10 jaar alles onder een user account en ben maar een paar keer per jaar genoodzaakt om als administrator in te loggen. (Eigenlijk alleen bij code waar ik echt een sudo command nodig heb.)

Dat neemt niet weg dat het een indrukwekkend en doordacht stuk programmeerwerk is. Er zit blijkbaar alleen een test in voor de Mojave verse van Safari. Blijkbaar is dit al weer een tijdje geleden geschreven.

Exact.

Maar het woord Apple werkt bij de bevolking, die nog nooit een option of command toets hebben gezien, laat staan hebben aangeraakt, als de bekende rode lap op een stier en veroorzaakt de oeverloze o zo bekende niet inhoudelijke babbelpraat zoals van gisteren 18:04 uur.
Waarom? Omdat een Mac (een Apple zoals dat nu heet) voor de bevolking onbetaalbaar is. Voor mij is dat nu ook zo; heb jaren aaneengesloten Mac gebruikt en het om financiële reden op moeten geven. Nou en? Zou dat voor mij een reden moeten zijn om te gaan klieren op Apple-Macintosh?
Neen, dat is even treuren en daarna volwassen gedrag exploiteren, dus tot de orde van de dag overgaan met een ander besturingssysteem, dat hier niet aan de orde is.
Dus sluit ik mij ook aan bij de opmerking van Anoniem, 21:48 uur, m.b.t. het volk van 18:04 uur:
"Pffff ... ga lekker klieren op Autoweek.
15-08-2020, 12:03 door Anoniem
Door jh81:
Door Anoniem:
Door Anoniem: Dat is vervelend, want de virusscanners detecteren de malware maar wat slecht.
https://www.virustotal.com/gui/file/6614978ab256f922d7b6dbd7cc15c6136819f4bcfb5a0fead480561f0df54ca6/detection
In sommige gevallen slaat de sandbox van OSX alarm en waarschuwt voor een EVADER.

Iedereen heeft ook een virusscanner op MacOS ?
Ooit werd toch gezegd dat dit niet nodig was op dit besturingsysteem ;-)

OOIT werd ook gezegd dat 640kb genoeg was..
Was het ook, voor de toenmalige techniek!
15-08-2020, 13:00 door jh81
Ach, ik was ooit fervent anti Apple. En fervent anti Windows.

En toen werd ik noodgewongen opgescheept met een iPhone. En nu is alles wat ik heb van Apple.
Ik ben volwassen geworden, gematigd in mijn mening, en heb besloten dat iedereen moet gebruiken wat hij/zij prettig vind.

Ik ben niet meer “anti” iets, Ik heb er alleen geen voorkeur voor :)

Sommige mensen moeten dat stadium nog bereiken ;-)
16-08-2020, 14:57 door Anoniem
Is er al een mac virusscanner die dit detecteert? Dit maakt Github wel erg gevaarlijk ineens ...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.