Поделиться
Специалисты по кибербезопасности компании SentinelOne обнаружили новый тип взлома для macOS, пишет BleepingComputer. Злоумышленники, используя заражённый легитимный проект Xcode, получали доступ к ноутбукам и компьютерам разработчиков.
TabBarInteraction со встроенным Run Script / Источник: BleepingComputer
Новую «заразу» назвали XcodeSpy. Она состояла из двух частей: проекта TabBarInteraction и добавленного в него Run Script.
Каждый раз, как iOS-девелопер запускал Xcode-проект, запускался скрипт, который устанавливал LaunchAgent. С его помощью злоумышленники сохраняли состояние вируса даже после перезагрузки устройства.
Затем загружался следующий этап — бэкдор EggShell. С его помощью можно было записывать аудио и видео через устройство жертвы, а также собирать информацию о набранном на нём тексте. EggShell умел ещё и загружать/выгружать файлы.
На момент обнаружения LaunchAgent, сетевая инфраструктура зловреда была отключена. Но специалисты всё же смогли найти несколько установок бэкдора EggShell, загруженных на VirusTotal.
Источник: BleepingComputer
Источник: