🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Ciberdelincuentes están atacando a desarrolladores de Apple con proyectos troyanizados

Un proyecto malicioso de Xcode conocido como XcodeSpy tiene como objetivo a los desarrolladores de iOS. Este es un ataque a la cadena de suministro para instalar una puerta trasera de macOS en la computadora del desarrollador.

Xcode es un entorno de desarrollo de aplicaciones gratuito creado por Apple. El entorno permite a los desarrolladores crear aplicaciones que se ejecutan en macOS, iOS, tvOS y watchOS.

Al igual que otros entornos de desarrollo, es común que los desarrolladores creen proyectos que realicen funciones específicas. Ellos posteriormente los comparten en línea para que otros desarrolladores puedan agregarlos a sus propias aplicaciones.

Los ciberdelincuentes están creando cada vez más versiones maliciosas de proyectos populares con la esperanza de que se incluyan en las aplicaciones de otros desarrolladores. Cuando se compilan esas aplicaciones, el componente malicioso infecta la computadora en un ataque a la cadena de suministro.

Proyecto Xcode utilizado en un ataque a la cadena de suministro

Investigadores de la empresa de ciberseguridad SentinelOne han descubierto una versión maliciosa del proyecto legítimo TabBarInteraction de Xcode. Este proyecto se está distribuyendo en un ataque a la cadena de suministro.

Como parte del ataque, los actores de amenazas han clonado el proyecto legítimo de TabBarInteraction. Ellos han agregado un script ‘Run Script’ malicioso y ofuscado al proyecto, como se muestra a continuación. Esta versión maliciosa del proyecto ha sido llamada ‘XcodeSpy‘ por SentinelOne.

TabBarInteraction malicioso con Run Script ofuscado

Funcionamiento

Cuando se compila el proyecto, Xcode ejecuta automáticamente Run Script para abrir una shell remota al servidor del actor de amenazas, cralev.me.  

“El script crea un archivo oculto llamado .tag en el  directorio /tmp, que contiene un solo comando:.  mdbcmd. Esto a su vez se envía a través de una shell inversa al C2 de los atacantes”.

Explicaciones del investigador de SentinelOne, Phil Stokes, en el informe.
Comando Run Script Desofuscado

Cuando SentinelOne se enteró de este proyecto malicioso, el servidor de comando y control ya no estaba disponible. Por lo tanto, no está claro qué acciones se realizaron a través de la shell inversa.

Sin embargo, SentinelOne descubrió dos muestras de malware subidas en VirusTotal que contienen la misma cadena “/private/tmp/.tag” para indicar que eran parte de este ataque.

“Cuando descubrimos el proyecto malicioso de Xcode, el C2 en cralev[.]me ya estaba desactivado. Por lo tanto, no fue posible determinar directamente el resultado del comando mdbcmd. Afortunadamente, sin embargo, hay dos muestras de la puerta trasera EggShell en VirusTotal que contienen la cadena /private/tmp/.tag” de XcodeSpy, dice el informe.

La puerta trasera EggShell permite a los actores de amenazas cargar archivos, descargar archivos, ejecutar comandos y espiar el micrófono. También puede espiar la cámara y la actividad del teclado de la víctima.

En este momento, SentinelOne solo tiene conocimiento de una víctima de este ataque, y no está claro cómo se distribuyó el proyecto malicioso de Xcode.

“No tenemos ningún dato sobre la distribución y eso es algo de lo que nos gustaría mucho saber más de la comunidad en general. Parte de nuestra motivación para publicar esto ahora es crear conciencia y ver si más detalles faltantes salen a la luz de la exposición”.

Los proyectos de desarrollo también atacaron a Windows

Los proyectos de desarrollo maliciosos también se han utilizado recientemente para apuntar a desarrolladores de Windows.

En enero, Google reveló que el grupo de hackers norcoreano Lazarus estaba llevando a cabo ataques de ingeniería social contra investigadores de seguridad.

Para realizar sus ataques, los actores de amenazas crearon personajes que simulaban ser ‘investigadores de seguridad’. Ellos utilizaron los falsos investigadores para contactar a los investigadores de seguridad para colaborar en el desarrollo de vulnerabilidades y exploits.

Como parte de esta colaboración, los atacantes enviaron proyectos de Visual Studio maliciosos que instalaban puertas traseras personalizadas en las computadoras del investigador cuando los compilaban.

Para prevenir este tipo de ataques, cuando los desarrolladores utilizan paquetes de terceros en sus propios proyectos deben tomar medidas de seguridad básicas. Por ejemplo, siempre deben revisar los proyectos en busca de scripts de compilación que se ejecutan cuando se compila el proyecto.

Si algo parece sospechoso, los desarrolladores no deben usar el paquete.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información