Un nouveau malware qui cible les développeurs et Xcode et qui inquiète (XCSSET)
Par Didier Pulicani - Publié le
XCSSET a récemment été découvert par Trend Micro et cible particulièrement les développeurs : il vient en effet se placer dans un binaire juste au moment de la compilation dans Xcode. Il parvient ainsi à se faufiler dans n'importe quel programme et même à passer la validation d'Apple.
En pratique, d'après Oleksandr Shatkivskyi et Vlad Felenuik à l'origine de la découverte, ce dernier ciblerait surtout les données du navigateur, pour créer des backdoors en JavaScript, lire les cookies de Safari, modifier des sites web pour en récupérer les données sensibles (login etc.). Il tenterait également de récupérer des infos dans Evernote, Notes, Skype, Telegram, QQ, ou encore WeChat.
Mais c'est surtout son mode de contamination, presque invisible, qui préoccupe. En effet, on aurait retrouvé des traces du malware dans des projets GitHub, couramment utilisés par les développeurs, loin de se douter que ces derniers pourraient être corrompus. Par ailleurs, le fait d'inclure le code directement à la validation, rend l'examen du binaire encore plus délicat : même Apple ne serait pas capable de le trouver, au moment de la validation.
A l'arrivée, quantité d'éditeurs pourraient se retrouver avec des applications corrompues et disponibles sur le Mac App Store, sans même le savoir -et s'exposer, ainsi que leurs clients, à des fuites d'informations sensibles.
Source
