Дайджест Jet CSIRT [18.03.2021]

18.03.2021

Разработчики приложений для iOS стали жертвами нового ВПО XcodeSpy

 

Специалисты компании SentinelLabs опубликовали исследование вредоносной версии проекта TabBarInteraction Xcode (Xcode — интегрированная среда разработки программного обеспечения для платформ macOS, iOS, watchOS и tvOS). В рамках атаки, злоумышленники клонировали легитимный проект TabBarInteraction и добавили в него замаскированный вредоносный скрипт Run Script, таким образом осуществив атаку на цепочку поставок данного ПО. После загрузки скомпрометированного проекта и запуска начальной сборки, модуль обращается к подконтрольному злоумышленникам C2-серверу для догрузки на рабочую станцию жертвы бэкдора EggShell.


Ошибка в коде программы-вымогателе LockBit открывает возможность бесплатной дешифровки

 

На одном из киберпреступных форумов были опубликованы подробности об уязвимости в одноразовой функции дешифрования LockBit, которая потенциально могла быть использована для создания бесплатного декриптора. Предположительно публикация была сделана русскоязычным киберпреступником Bassterlord, который ранее был "партнером" группировок LockBit, REvil, Avaddon и RansomExx. Поскольку уязвимость была предана широкой огласке, наиболее вероятно, что разработчики LockBit исправят её, и создать рабочую утилиту по расшифровке не получится.


Опубликован метод сокрытия ZIP и MP3 файлов в изображених в Twitter

 

Независимый исследователь безопасности Дэвид Бьюкенен (David Buchanan) описал метод, который позволяет скрыть до трех мегабайт данных внутри изображений в социальной сети Twitter. В ходе своей демонстрации специалист показал, как можно внедрить аудиофайлы в формате MP3 и архивы в формате ZIP в PNG-изображения. По словам исследователя, данный способ может быть использован вредоносными программами для упрощения командных и управляющих действий C&C-сервера. Специалист опубликовал исходный код для создания подобных файлов на платформе GitHub.