Các dự án trên Xcode đang được khai thác để lan truyền một dạng phần mềm độc hại trên Mac có nguy cơ xâm phạm Safari và các trình duyệt khác
Trend Micro cho biết: các nhóm phần mềm độc hại XCSSET đã được tìm thấy trong các dự án của Xcode, dẫn đến một lỗ hổng chứa các gói tin độc hại.
Trong một bài báo khám phá về làn sóng của các cuộc tấn công, các nhà nghiên cứu về an ninh mạng cho biết có một sự lây nhiễm bất thường trong dự án của nhà phát triển cũng bao gồm sự phát hiện của 2 lỗ hổng Zero-day.
Xcode là một IDE miễn phí được sử dụng trong MacOS để các developer có thể phát triển phần mềm và ứng dụng liên quan đến Apple.
Mặc dù vẫn chưa rõ cách XCSSET thâm nhập vào các dự án Xcode, Trend Micro cho biết sau khi được nhúng vào, các phần mềm độc hại sẽ được chạy khi các dự án được xây dựng.
Nhóm nghiên cứu lưu ý: “Có lẽ, các hệ thống này sẽ được sử dụng chủ yếu bởi các developers”, “Các dự án Xcode này đã được sửa đổi để khi xây dựng, các dự án này sẽ chạy mã độc. Điều này cuối cùng dẫn đến phần mềm độc hại XCSSET chính sẽ bị loại bỏ và chạy trên hệ thống bị ảnh hưởng”.
Một số nhà phát triển bị ảnh hưởng đã chia sẻ các dự án của họ trên GitHub, các nhà nghiên cứu cho rằng có thể dẫn đến “các cuộc tấn công nhằm vào người dùng dựa vào các kho lưu trữ độc lập cho các dự án riêng của họ”.
Một khi hệ thống dễ dàng bị tấn công, XCSSET hoạt động trên các trình duyệt bao gồm các phiên bản của nhà phát triển Safari, sử dụng các lỗ hổng để đánh cắp dữ liệu của người dùng.
Trong trưởng hợp của Safari, lỗi đầu tiên trong hai lỗi là một lỗ hổng trong Data Vault. Một phương pháp bỏ qua được tìm thấy để phá vỡ hệ thống bảo mật mà MacOS áp dụng cho các tệp cookies trên safari thông qua SSHD.
Lỗ hổng thứ 2 cần lưu ý là do cách thức hoạt động của Webkit trên safari. Thông thường, khi khởi chạy thì webkit sẽ yêu cầu người dùng gửi mật khẩu của họ, nhưng đã tìm thấy được một đường vòng có thể được sử dụng để thực hiện các hoạt động độc hại thông qua trình duyệt Safari bỏ qua bước yêu cầu trên và sandbox. Nó có thể thực hiện việc chiếm quyền điều khiển Dylib.
Các vấn đề về bảo mật cho phép cookie trên Safari được đọc và kết hợp, và các gói dữ liệu này sau đó được sử dụng để đưa các backdoor dựa trên Javasript vào các trang được hiển thị thông qua một cuộc tấn công UXSS (Universal Cross-site Scripting).
Trend Micro tin rằng các cuộc tấn công thông qua UXSS không chỉ đánh cắp thông tin người dùng mà còn có thể sửa đổi các sessions để hiển thị các trang web độc hại, thay đổi địa chỉ ví điện tử, thu nhập thông tin thẻ tín dụng Apple Store và đánh cắp thông tin đăng nhập: Apple, Google, Paypal và Yandex.
Phần mềm độc hại này cũng có thể đánh cắp nhiều loại dữ liệu của người dùng khác như: nội dung Evernote, thông tin ghi chú, các cuộc hội thoại trên Skype, Telegram, QQ và Wechat.
Ngoài ra, XCSSET có thể chụp màn hình, lọc dữ liệu và gửi các dữ liệu này đến các máy chủ điều khiển và kiểm soát, đồng thời cũng chứa các mã độc ransomware dùng để mã hóa các files và yêu cầu tống tiền.
Chỉ có 2 dự án Xcode chứa phần mềm mã độc đã được tìm thấy, cùng với 380 IP nạn nhân – phần lớn nằm ở Trung Quốc và Ân Độ - nhưng sự lây nhiễm này vẫn là rất quan trọng.
Trend Micro cho biết “Phương pháp phân phối mã độc này rất là thông minh”. “Các nhà phát triển bị ảnh hưởng sẽ vô tình phân phối những trojan này cho những người dùng của họ thông qua các dự án Xcode bị xâm nhập và các phương pháp xác minh (như là dùng mã băm) sẽ không hữu ích vì các nhà phát triển không biết rằng họ đang phân phối đi các tệp độc hại”.
ZDNet đã liên hệ với Trend Micro và Apple với các truy vấn bổ sung và sẽ cập nhật khi nhận được phản hồi.
Nguồn tham khảo: https://www.zdnet.com/article/mac-malware-spreads-through-xcode-projects-abuses-previously-unknown-vulnerabilities/
