새로운 Mac 악성 코드가 Xcode 프로젝트를 통해 감염과 확산

 

 

많은 Xcode 프로젝트가 Safari 및 기타 브라우저를 공격할 수 있는 맬웨어를 포함하는 것으로 밝혀졌으며 XCSSET 맬웨어가 거의 알려지지 않은 수단을 통해 Mac 소프트웨어 프로젝트에 침투하는 것으로 밝혀졌습니다.

 

트렌드 마이크로(Trend Micro)의 연구원들은 멀웨어가 프로젝트 자체에 통합되는 "Xcode 개발자 프로젝트와 관련된 비정상적인 감염"이라고 설명하는 멀웨어를 발견했습니다.

 

https://blog.trendmicro.com/trendlabs-security-intelligence/xcsset-mac-malware-infects-xcode-projects-performs-uxss-attack-on-safari-other-browsers-leverages-zero-day-exploits/

XCSSET Mac Malware: Infects Xcode Projects, Performs UXSS Attack on Safari, Other Browsers, Leverages Zero-day Exploits - TrendL

 

이 악성 코드는 여러 페이로드 가능성이 있는 것으로 밝혀졌으며, 애플e의 IDE를 통해 개발된 소프트웨어를 사용하는 최종 사용자에게 잠재적인 위험을 초래할 수 있지만 실제로는 개발자 자신에게 더 큰 문제인 것 같습니다.

 

XCSSET 제품군의 일부인 악성 코드는 대상 시스템의 "명령 및 제어"를 가능하게하는 파일을 포함하는 것으로 밝혀졌습니다. 즉, 악성 코드를 사용하는 공격자가 감염된 Mac을 제어할 수 있도록 허용합니다.

 

이를 통해 개인 데이터 수집 및 암호화와 관련된 랜섬웨어 스타일 공격 수행을 포함하여 감염된 시스템에서 다양한 작업을 수행할 수 있습니다.

 

Mac 위협 대응 및 모바일 연구 팀은 악성 코드가 배포되는 방식, 즉 "프로젝트가 빌드 될 때 악성 코드가 실행되도록 로컬 Xcode 프로젝트에 주입"된다는 점에서 악성 코드의 비정상적인 특성을 설명합니다. 

 

현재 코드가 프로젝트에 어떻게 삽입되고 있는지 정확히 알 수 없습니다. 이것이 밝혀져여 예방과 치료가 가능한데 이제 발견만 된 멀웨어라서 빨리 대책이 강구되어야 합니다. 

트렌드 마이크로(Trend Micro)는 타인과의 협업에 의존하는 개발자들에게  GitHub와 같은 코드 저장소를 통해 공유되는 프로젝트를 고려할 때 위협이 더 심각하다고 설명합니다. 

 

이것은 "이러한 저장소를 자신의 프로젝트에서 의존하는 사용자에 대한 공급망 같은 공격"으로 이어질 수 있기 때문이다.

 

설치 후 맬웨어는 유용한 사용자 데이터를 획득하기 위해 Mac의 Safari 및 기타 브라우저를 공격할 수 있습니다.

 

발견된 제로 데이 취약점에는 macOS의 시스템 무결성 보호 기능을 우회하는 Data Vault 문제와 합법적인 버전 대신 실행되는 가짜 Safari 앱을 생성하는 WebKit 개발용 Safari의 문제가 포함됩니다.

 

지금까지 이 악성 코드는 연구중인 2개의 Xcode 프로젝트에서만 발견되었으며 다른 개발자가 널리 사용하지 않는 것으로 생각되어 영향을 심각하게 제한했습니다.

 

380개의 피해자 IP 주소 목록이 멀웨어 작성자에 의해 수집되었으며, 중국과 인도에서 대량의 감염이 Mac으로 구성되었습니다.

 

트렌드 마이크로(Trend Micro)는 프로젝트 소유자가 "향후 맬웨어 감염과 같은 부당한 문제를 확실히 제거하기 위해 프로젝트의 무결성을 계속해서 세 번 확인"할 것을 권장합니다.

아래는 마이크로트렌드의 관련 정보입니다.

 

XCSSET Mac 맬웨어 : Xcode 프로젝트 감염, Safari, 기타 브라우저에서 UXSS 공격 수행, 제로 데이 익스플로잇 활용

 

Mac 위협 대응 및 모바일 연구 팀이 작성한 보고서 입니다.

 

우리는 Xcode 개발 프로젝트와 관련된 특이한 감염을 발견했다. 추가 조사 결과, 개발자의 Xcode 프로젝트에는 악성 종괴가 다수 포함되어 있으며, 이로 인해 악성 종괴가 토끼 구멍으로 이어진다는 사실을 발견했다. 우리의 조사에서 가장 주목할 만한 것은 제로 데이 공격의 두 가지 발견이다. 하나는 데이터 볼트의 행동의 결함을 통해 쿠키를 훔치는 데 사용되고, 다른 하나는 사파리 개발 버전을 남용하는 데 사용된다.

 

이 시나리오는 매우 이례적이다. 이 경우 악성코드가 로컬 Xcode 프로젝트에 주입되어 프로젝트가 구축되면 악성코드가 실행된다. 이것은 특히 Xcode 개발자들에게 위험을 제기한다.

 

GitHub에서 프로젝트를 공유한 영향을 받는 개발자들을 확인했기 때문에 위협이 증대되고, 이러한 저장소에 의존하는 사용자들을 자신의 프로젝트에서 의존하는 사용자들을 위한 공급망 같은 공격으로 이끈다. 우리는 또한 VirusTotal과 같은 출처에서 이 위협을 확인했는데, 이것은 이 위협이 전반적으로 존재함을 나타낸다.

 

이 블로그는 이 위협의 발견을 요약하고, 동봉된 기술 요약에는 이 공격의 전체 세부사항이 수록되어 있다. 우리는 트로이 목마 스파이라고 하는 진입 위협을 탐지했다.맥OS.XCSSET.A와 그 명령 및 제어(C&C) 관련 파일은 백도어로 한다.

 

이 위협은 주로 Xcode 프로젝트와 악성코드로 생성된 악의적으로 수정된 애플리케이션을 통해 확산된다. 위협이 처음에 이들 시스템에 어떻게 침투했는지는 아직 명확하지 않다. 아마도 이러한 시스템은 주로 개발자들에 의해 사용되었을 것이다.

 

이러한 Xcode 프로젝트는 구축될 때 악성 코드를 실행할 수 있도록 수정되었다. 이는 결국 주요 XCSSET 악성 프로그램이 삭제되어 영향을 받는 시스템에서 실행되게 된다. 감염된 사용자는 자격 증명, 계정 및 기타 중요한 데이터를 도난당하기 쉽다.

 

XCSSET는 영향을 받는 시스템에 일단 존재하면 다음과 같은 동작을 할 수 있다.

 

익스플로잇을 사용하여 기존 Safari 및 기타 설치된 브라우저를 악용하여 사용자 데이터를 훔칩니다. 특히 취약점을 사용하여 Safari 쿠키를 읽고 덤프합니다. Safari 개발 버전을 사용하여 UXSS (Universal Cross-site Scripting) 공격을 통해 웹 사이트에 JavaScript 백도어를 삽입합니다.

 

사용자의 Evernote, Notes, Skype, Telegram, QQ 및 WeChat 앱에서 정보를 훔칩니다.

사용자의 현재 화면 스크린 샷을 찍습니다.

영향을받는 컴퓨터에서 공격자가 지정한 서버로 파일을 업로드합니다.

서버에서 명령하면 파일을 암호화하고 몸값을 표시합니다.

 

UXSS 공격은 이론적으로 사용자 브라우저 경험의 거의 모든 부분을 임의의 JavaScript 삽입 코드로 수정할 수 있습니다. 이러한 수정에는 다음이 포함됩니다.

 

표시된 웹 사이트 수정

Bitcoin / cryptocurrency 주소 수정 / 교체

amoCRM, Apple ID, Google, Paypal, SIPMarket 및 Yandex 자격 증명 도용

Apple Store에서 신용 카드 정보 훔치기

사용자가 암호를 변경하지 못하도록 차단하고 새로 수정 된 암호를 훔치는 것

특정 액세스 사이트의 스크린 샷 캡처

 

사용 된 배포 방법은 영리하다고 만 설명 할 수 있습니다. 영향을받는 개발자는 악의적 인 트로이 목마를 손상된 Xcode 프로젝트의 형태로 사용자에게 무의식적으로 배포 할 것이며, 배포 된 파일을 확인하는 방법 (예 : 해시 확인)은 개발자가 자신이 악성 파일을 배포하고 있음을 알지 못하기 때문에 도움이되지 않습니다.

 

이 공격에 대한 자세한 내용은 관련 기술 요약에서 찾을 수 있습니다.

 

https://documents.trendmicro.com/assets/pdf/XCSSET_Technical_Brief.pdf

애플,개발자,xcode,iMac,멀웨어,중국,인도,