Mac惡意程式透過Xcode專案散布,鎖定蘋果零時差漏洞

趨勢科技安全研究人員發現一隻Mac版惡意程式藉由Xcode專案散布,而且利用蘋果軟體的漏洞竊取重要資訊,包括帳號、密碼等等。

名為XCSSET的木馬程式藉由於Xcode專案感染Mac電腦。它有兩點很特殊。首先,它的攻擊途徑很特殊:惡意程式碼是被注入本機Xcode專案,它一開始怎麼注入的不得而知,但因為這些Xcode專案已被修改,因此從一開始便執行惡意程式碼,結果就是在執行的系統上植入木馬程式XCSSET。趨勢科技指出,這相當嚴重,因為他們發現到有些開發人員已將問題Xcode專案經由GitHub分享其專案,對仰賴GitHub的開發人員可能導致類似供應鏈攻擊的風險。他們也在VirusTotal上發現這個惡意程式。

第二個值得注意的地方是,XCSSET進入Mac系統後,會開採蘋果軟體的零時差漏洞。首先它會使用Data Vaults的漏洞來讀取或倒出cookies,或是利用Safari開發版本漏洞,以便發動通用跨站指令碼(Universal Cross-site Scripting,UXSS)攻擊注入JavaScript後門到網站上。理論上,UXSS攻擊可以透過JavaScript任意程式碼修改幾乎所有瀏覽器設定,包括顯示的網站、取代比特幣電子錢包網址、偷取Apple ID、Google、Paypal、Yandex密碼,Apple Store信用卡資訊、封鎖用戶修改密碼、竊取特定網站的螢幕擷圖。

此外,研究人員還發現,它還會竊取用戶Evernote、Notes、Skype、Telegram、QQ 和WeChat App的資訊、用戶現有螢幕擷圖,或將用戶電腦的檔案傳送給外部伺服器。另外,如果C&C伺服器下指令,它還能加密檔案並丟入勒索訊息。

研究人員指出,這種散布方式堪稱聰明,因為這讓開發人員無意中將木馬程式送給使用者,無奈的是,驗證散布檔案的方法(如檢查hash)其實也無法幫開發人員檢查出惡意檔案。

趨勢科技並沒有說明漏洞細節,只說該公司已經通報蘋果,蘋果現正開發macOS中關於Data Vaults漏洞的修補程式。但蘋果說開發版Safari的問題並不是漏洞,而是本來預設的行為,因此並不打算變動。

在macOS修補程式釋出前,研究人員提醒用戶或開發人員應從官方及合法的軟體市集下載應用程式,或是安裝Mac版防毒軟體。

原文來自 iThome Online