Tag: 新型惡意軟件

Palo Alto Networks最新披露:惡意軟件XcodeGhost更多細節

Palo Alto NPagesetworks最新披露:惡意軟件XcodeGhost 更多細節 作者: Palo Alto Networks Unit 42威脅研究分析員Claud Xiao 數天前,我們深入調查了一種名為XcodeGhost的新型惡意軟件,它存儲於App Store,可修改Xcode並感染iOS應用。研究還發現,超過39款iOS應用程式已被感染,其中包括像最新版本的微信或滴滴打車這些非常流行的 應用程式,預計數億iOS用戶可能已受到影響。 此外,我們還分析了XcodeGhost的遠端控制功能,攻擊者可以借此功能實施釣魚或進一步的攻擊。更多關於XcodeGhost及其行為的細節將在下文中進行披露。 以下為網誌節錄內容: 應對措施 自9月18日公佈該資訊以後,Palo Alto Networks公司已與蘋果、亞馬遜和百度達成合作,以共用樣本、威脅情報和研究資源。上述所有公司都已經採取措施,以阻止攻擊,緩解安全威脅。 自9月18日開始,蘋果公司已經開始刪除其應用程式商店中被XcodeGhost感染的某些iOS應用。蘋果公司還給受影響的開發商發送了一封郵件,通過官方的Xcode引導他們重新編譯他們的產品,並再次重新提交。此外,蘋果公司已經承認XcodeGhost為惡意軟件,並已經影響到了App Store。 圖1 「鐵路12306」應用程式已暫時從App Store中被刪除 亞馬遜也已經採取行動,由於XcodeGhost能夠通過亞馬遜網絡服務中的C2伺服器上傳私隱資訊,並發送控制命令,所以,亞馬遜也關閉網絡服務中的所有C2伺服器。 百度已經刪除了其雲檔共用服務中所有的惡意Xcode安裝檔,使程式開發人員無意間下載被感染Xcode的機率大為降低。 截至9月21日,我們發現應用程式商店中仍然存在一些已被感染的iOS應用,其中也包括中國聯通移動辦公3.2版本。(圖2) 圖2  週一上午一個已受感染的應用程式在App Store中仍然可用 更多受感染的應用程式已被披露 過去數天,其他安全公司也聲稱,更多的iOS應用程式已感染XcodeGhost。例如,奇虎360在其博客中列出了344款被感染的應用程式。盤古團隊也聲稱,已經檢測到3418款被感染的不同的iOS應用程式。盤古團隊還發佈了一款iOS應用程式,可以用於檢測他們發現的木馬iOS應用。 目前我們還沒有證實他們的調查結果。但是,考慮到自2015年3月份以來惡意軟件Xcode安裝檔傳播的情況,3月份己開始運作的C2伺服器,與此同時,搗亂搜尋引擎的回覆,因此,如果iOS應用程式受影響的人數遠遠大於我們的想像,倒也不足為奇。 給iOS用戶的安全建議...