Sicherheitsforscher fĂĽrchten infiltrierte App-Store-Anwendungen
Die XCSSET-Malware kommt über Xcode-Projekte auf den Mac. Das könnte Auswirkungen auf Apples Sicherheitskonzept haben.
Arbeit mit SwiftUI in Xcode.
(Bild: Apple)
Sicherheitsforscher von Trend Micro haben nähere Details zur frisch entdeckten Malware XCSSET für den Mac genannt, die einen neuartigen Infektionsweg zeigt. Die Angreifer verwenden 0-Day-Exploits etwa für Safari, um Nutzerdaten zu entwenden.
Der Schadcode wird laut der Entdecker in lokale Xcode-Projekte auf dem Mac injiziert und ausgefĂĽhrt, sobald die Software kompiliert wird. Besonders problematisch: Man habe mehrere von der Malware betroffene Entwickler ausgemacht, die ihre Xcode-Projekte ĂĽber die Online-Plattform fĂĽr Dritte bereitgestellt haben. Darin ist der Schadcode bereits enthalten.Betroffen waren bekannte Open-Source-Plattformen wie Github, auf denen sich viele Devs frei bedienen.
Bösartige Payloads jedweder Art
Wie die beiden Trend-Micro-Security-Experten Oleksandr Shatkivskyi und Vlad Felenuik nun in einem Interview mitteilten, fürchten sie, das auf diese Art auch Schadcode in Apples Mac App Store gelangen könnte. Die "Malware Injects" via Xcode seien eine "ungewöhnliche Infektion". Man habe es mit einem "Kaninchenloch bösartiger Payloads" zu tun, die ein "signifikantes Risiko für Mac-Nutzer" darstellten.
Schon zuvor hatte Trend Micro entdeckt, dass XCSSET Screenshots aufnehmen und Daten aus Apps wie Notizen, Evernote, Skype, Telegram und WeChat auslesen kann. Ransomware-Funktionen zur VerschlĂĽsselung von Dateien seien ebenfalls integriert. Daten lassen sich auf fremde Server exfiltrieren. Bei der Untersuchung des Command & Control-Servers der Angreifer habe man eine Liste mit gesammelten IP-Adressen von 380 Opfern aufgespĂĽrt, von denen der GroĂźteil China (152) und Indien (103) zuzuordnen ist, so das Sicherheitsunternehmen.
Angriff auf die App-Lieferkette
Shatkivskyi und Felenuik warnen davor, dass Verifikationsmethoden, mit denen sonst Infektionen aufgedeckt werden könnten, nicht greifen, etwa das Überprüfen von Hashes, da der Schadcode von vorne herein Teil einer App ist. Die Angreifer haben damit eine Art "Lieferkettenangriff" konstruiert. Entwickler seien sich oft gar nicht bewusst, dass ihr Projekt infiziert sei.
Die Sicherheitsforscher glauben nicht, dass die Mac-App-Store-PrĂĽfer solchen Code entdecken wĂĽrden. Denkbar sind darĂĽber hinaus auch Angriffe auf iOS, da Xcode die Entwicklungsumgebung auch fĂĽr iOS und alle weiteren Apple-Betriebssysteme ist. Apple soll bereits seit Dezember 2019 informiert sein. Trend Micro hofft, dass der Konzern "kraftvoll und schnell" reagiert. (bsc)
