XcodeGhost-Featured1

分析顯示,XcodeGhost 代碼完全具備隨時進行惡意行為的能力,不過到目前為止,尚無證據證明XcodeGhost 被用於除收集信息以外的惡意行為,但整個事件仍存在幾個疑點:

疑點一:XcodeGhost 與KeyRaider 的關係

今年8 月,PaloAlto Networks 曾披露過代號為KeyRaider 的惡意程序盜取了225000 個Apple ID 帳號,報告中提到KeyRaider 曾向icloud-analysis.com 發送信息。

有兩種可能性:

1、XcodeGhost 與 KeyRaider 是同一作者

2、KeyRaider 作者在2015 年2 至8 月間也使用了感染XcodeGhost 的開發環境

代碼分析結果表明第二種可能性較大

疑點二:XcodeGhost 與流行的PC 木馬病毒TrojanSpy 的關係

2015 年3 至9 月期間​​,與XcodeGhost 相關的域名icloud-analysis.com 和allsdk.org 都曾指向IP地址50.63.202.48,安全機構通過威脅情報關聯分析發現,同一時間段內超過七成的寄生於此IP 地址的木馬病毒屬於TrojanSpy 家族。

TrojanSpy 為PC 端木馬病毒,主要惡意行為是竊取敏感信息並發送到遠程服務器,被竊敏感信息包括:系統配置、當前運行進程、某些金融網站賬戶密碼、瀏覽歷史和按鍵記錄。

例如:此木馬變種TrojanSpy:Win32/Nivdort.Y 經VirusBook 安全分析雲鑑定,被70% 的殺毒軟件識別為惡意程序。

NO COMMENTS