趋势科技安全研究人员发现一只Mac版恶意程序借由Xcode项目传播,而且利用苹果软件的漏洞窃取重要信息,包括账号、密码等等。
名为XCSSET的木马程序借由于Xcode项目感染Mac计算机。它有两点很特殊。首先,它的攻击途径很特殊:恶意程序代码是被注入本机Xcode项目,它一开始怎么注入的不得而知,但因为这些Xcode项目已被修改,因此从一开始便执行恶意程序代码,结果就是在执行的系统上植入木马程序XCSSET。趋势科技指出,这相当严重,因为他们发现到有些开发人员已将问题Xcode项目经由GitHub分享其项目,对依赖GitHub的开发人员可能导致类似供应链攻击的风险。他们也在VirusTotal上发现这个恶意程序。
第二个值得注意的地方是,XCSSET进入Mac系统后,会开采苹果软件的零时差漏洞。首先它会使用Data Vaults的漏洞来读取或倒出cookies,或是利用Safari开发版本漏洞,以便发动通用跨站脚本(Universal Cross-site Scripting,UXSS)攻击注入JavaScript后门到网站上。理论上,UXSS攻击可以通过JavaScript任意程序代码修改几乎所有浏览器设置,包括显示的网站、取代比特币电子钱包网址、偷取Apple ID、Google、Paypal、Yandex密码,Apple Store信用卡信息、封锁用户修改密码、窃取特定网站的屏幕截图。
此外,研究人员还发现,它还会窃取用户Evernote、Notes、Skype、Telegram、QQ和WeChat App的信息、用户现有屏幕截图,或将用户计算机的文件发送给外部服务器。另外,如果C&C服务器下指令,它还能加密文件并丢入勒索消息。
研究人员指出,这种传播方式堪称聪明,因为这让开发人员无意中将木马程序送给用户,无奈的是,验证传播文件的方法(如检查hash)其实也无法帮开发人员检查出恶意文件。
趋势科技并没有说明漏洞细节,只说该公司已经通报苹果,苹果现正开发macOS中关于Data Vaults漏洞的修补程序。但苹果说开发版Safari的问题并不是漏洞,而是本来默认的行为,因此并不打算变动。
在macOS修补程序发布前,研究人员提醒用户或开发人员应从官方及合法的软件市场下载应用程序,或是安装Mac版杀毒软件。