FacebookTwitterLinkedIn

Comment supprimer le maliciel XcodeSpy ?

Aussi connu comme: Porte dérobée XcodeSpy
Distribution: Bas
Niveau de dommage: Sévère

Comment supprimer XcodeSpy d'un Mac ?

Qu'est-ce que XcodeSpy ?

Le maliciel XcodeSpy cible les développeurs Apple, il se propage à travers des projets Xcode malveillants (trojanisés) (fonction Run Script dans Xcode IDE). La recherche montre que l'un de ces projets Xcode malveillants (appelé TabBarInteraction) est censé inclure des fonctionnalités pour animer la barre d'onglets iOS. Il est probable qu'il y ait plus d'un projet Xcode trojanizés. Un code malveillant utilisé par XcodeSpy peut être facilement masqué et lancé dans n'importe quel projet Xcode tiers. XcodeSpy (ou plutôt la porte dérobée qu'il injecte) peut enregistrer de l'audio à l'aide du microphone, de la vidéo à l'aide de la caméra et de l'entrée au clavier. En outre, il peut télécharger des fichiers dans les deux sens.

Le malware XcodeSpy a installé la porte dérobée EggShell

Comme mentionné dans le premier paragraphe, XcodeSpy est distribué à l'aide de la fonction Run Script dans Xcode IDE. Une fois qu'un projet Xcode trojanisé (XcodeSpy) est lancé, il installe la porte dérobée EggShell sur le système d'exploitation. Ensuite, les attaquants peuvent utiliser la porte dérobée installée pour enregistrer l'audio à l'aide du microphone, la vidéo à l'aide de la caméra, enregistrer les frappes au clavier (enregistrer l'entrée au clavier), télécharger des fichiers. Il est courant que les cybercriminels utilisent des microphones et des caméras détournés pour enregistrer des vidéos, des audios qui pourraient être utilisés pour faire chanter les victimes. Très souvent, les cybercriminels menacent de publier du matériel enregistré si les victimes ne paient pas un certain montant (généralement en crypto-monnaie). La fonction de journalisation des frappes permet aux attaquants d'enregistrer tout ce que les victimes saisissent avec leur clavier. Cela signifie que les cybercriminels pourraient être en mesure d'obtenir des données telles que les identifiants de connexion (noms d'utilisateur, adresses courriel, mots de passe) pour divers comptes personnels (des réseaux sociaux aux comptes bancaires), les détails de carte de crédit, les numéros de sécurité sociale, les numéros de compte bancaire, etc. En fonction des données d'enregistrement, il pourrait être utilisé pour voler des comptes en ligne, des identités, effectuer des achats frauduleux, des transactions et à d'autres fins malveillantes. De plus, toutes les informations extraites pourraient être vendues à des tiers (autres cybercriminels). et à d'autres fins malveillantes.

De plus, XcodeSpy/backdoor installé peut être utilisé pour télécharger des fichiers stockés sur l'ordinateur de la victime, y compris des documents personnels, des photos, des vidéos, etc. Les cybercriminels peuvent également menacer de publier ces fichiers et demander un paiement en échange de ne pas rendre les fichiers volés accessibles au public. Ou ils pourraient essayer de monétiser les fichiers téléchargés d'une autre manière. Comme mentionné dans le paragraphe précédent, XcodeSpy peut être utilisé pour télécharger des fichiers dans les deux sens. Il est courant que les cybercriminels utilisent cette fonctionnalité pour propager des maliciels ou d'autres logiciels indésirables. Il est important de mentionner que le maliciel XcodeSpy installe un utilisateur LaunchAgent pour la persistance (le maliciel reste actif même après le redémarrage du système).

Résumé des menaces :
Nom Porte dérobée XcodeSpy
Type de menace Maliciel de porte dérobée
Noms de détection (porte dérobée EggShell) Avast (MacOS:Eggshell-L [Trj]), BitDefender (Trojan.MAC.Generic.105295), ESET-NOD32 (Une variante de OSX/EggShell.M), Kaspersky (HEUR:Backdoor.OSX.EggShell.a), Liste complète (VirusTotal)
Symptômes Les maliciels de type chevaux de Troie sont conçus pour infiltrer furtivement l'ordinateur de la victime et rester silencieux, et donc aucun symptôme particulier n'est clairement visible sur une machine infectée.
Méthodes de distribution Projets Xcode Trojan/tiers
Dommages Données, perte financière, perte d'accès aux comptes personnels, problèmes de sécurité de navigation, confidentialité en ligne
Suppression

Pour éliminer Porte dérobée XcodeSpy, nos chercheurs de programmes malveillants recommandent d'analyser votre ordinateur avec Combo Cleaner.
▼ Télécharger Combo Cleaner
Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. Essai gratuit limité de trois jours disponible.

D'autres exemples de maliciels que les cybercriminels utilisent pour attaquer les utilisateurs de Mac sont Silver Sparrow, Eleanor et Proton. Dans la plupart des cas, les cybercriminels distribuent des maliciels dans le but de voler des informations personnelles qui pourraient être monétisées d'une manière ou d'une autre ou infecter les ordinateurs avec des maliciels supplémentaires (par exemple, des chevaux de Troie, des rançongiciels), qui leur permettraient de voler des informations ou de faire chanter les victimes. Comme mentionné dans les paragraphes précédents, XcodeSpy se propage via des projets Xcode malveillants partagés en abusant de la fonction Run Script. Par conséquent, il est fortement conseillé aux développeurs Apple de vérifier les projets Xcode tiers pour détecter les scripts d'exécution malveillants lors de leur adoption.

Comment les applications potentiellement indésirables se sont-elles installées sur mon ordinateur ?

Il est probable qu'au moins l'un des projets Xcode malveillants utilisés pour distribuer la porte dérobée XcodeSpy soit (ou était) disponible au téléchargement sur une plate-forme d'hébergement de code appelée GitHub. Divers forums de développeurs peuvent également être utilisés. D'autres exemples de canaux que les cybercriminels utilisent pour distribuer leurs maliciels sont les campagnes malspam (courriels contenant des pièces jointes ou des liens malveillants), de faux programmes de mise à jour de logiciels, des outils de "piratage" de logiciels (outils qui activent illégalement des logiciels sous licence), certains chevaux de Troie et des sources peu fiables pour télécharger des fichiers, des programmes. Des exemples de canaux douteux pour le téléchargement de fichiers sont les réseaux Peer-to-Peer (par exemple, les clients torrent, eMule), les téléchargeurs tiers, les sites Web de téléchargement de logiciels gratuits, les pages d'hébergement de fichiers gratuites, les sites non officiels. Il est important de mentionner que les installateurs tiers peuvent également être malveillants.

Comment éviter l'installation d'applications potentiellement indésirables ?

Dans ce cas, il est conseillé aux utilisateurs (développeurs Apple) de rechercher dans les projets Xcode partagés les scripts d'exécution malveillants tout en les adoptant. De plus, il est recommandé de télécharger des fichiers ou des logiciels uniquement à partir de sites Web officiels et en utilisant des liens de téléchargement directs. Si vous utilisez le projet de quelqu'un d'autre, assurez-vous que la source est fiable. Mettez à jour ou activez les logiciels installés à l'aide des outils fournis par ses développeurs officiels. N'utilisez jamais d'outils tiers non officiels pour mettre à jour ou activer un logiciel. Ces outils peuvent être malveillants et il n'est pas légal d'utiliser des outils tiers pour activer des logiciels sous licence. De plus, il est fortement recommandé de ne pas faire confiance aux courriels non pertinents reçus d'un expéditeur suspect et inconnu. Si ces courriels contiennent des pièces jointes, des liens vers des sites Web, ces fichiers, les liens ne doivent pas être ouverts/cliqués. Il est important de se rappeler que les cybercriminels déguisent leurs courriels en lettres officielles importantes. Si votre ordinateur est déjà infecté par des PUA, nous vous recommandons d'exécuter une analyse avec Combo Cleaner pour les éliminer automatiquement.

Fichier de porte dérobée Eggshell détecté comme une menace pour VirusTotal :

xcodespy malware virustotal

Suppression instantanée automatique de Porte dérobée XcodeSpy: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Combo Cleaner est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Porte dérobée XcodeSpy. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Combo Cleaner (Mac) Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. Essai gratuit limité de trois jours disponible. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide :

Vidéo montrant comment supprimer les publiciels et les pirates de navigateur d'un ordinateur Mac :

Suppression des applications potentiellement indésirables :

Supprimez les applications potentiellement indésirables de votre dossier "Applications" :

suppression du pirate de navigateur mac du dossier des applications

Cliquez sur l'icône Finder. Dans la fenêtre du Finder, sélectionnez "Applications". Dans le dossier des applications, recherchez "MPlayerX", "NicePlayer" ou d'autres applications suspectes et faites-les glisser vers la Corbeille. Après avoir supprimé la ou les applications potentiellement indésirables qui sont à l'origine des publicités en ligne, scannez votre Mac à la recherche de tout composant indésirable restant.

Suppression des fichiers et dossiers reliés au porte dérobée xcodespy:

Trouver la commande pour aller au dossier

Cliquer l'Icône Trouver, dans la barre des menus, choisissez Aller, et cliquer Aller au dossier...

step1Rechercher les fichiers générés par le logiciel de publicité dans le dossier Library/LaunchAgents:

Supprimer le logiciel de publicité à partir du dossier lancerlesagents étape 1

Dans la barre Aller au dossier... taper: Library/LaunchAgents

Supprimer le logiciel de publicité à partir du dossier lancerlesagents étape 2Dans le dossier “LancerlesAgents”, recherché tous les fichiers suspects récemment ajoutés et déplacez-les dans la Corbeille. Exemples de fichiers générés par un logiciel de publicité- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Le logiciel de publicité installe habituellement plusieurs fichiers avec la même chaîne.

step2Rechercher les fichiers générés dans le dossier de /Library/Application Support :

Suppression du logiciel de publicité à partir du dossier soutien d'application étape 1

Dans la barreAller au dossier..., taper: /Library/Application Support

Suppression du logiciel de publicité à partir du dossier soutien d'application étape 2Dans le dossier “Application Support” , rechercher tous les dossiers suspects récemment ajoutés. Par exemple, “MplayerX” or “NicePlayer”, et déplacer ces dossiers dans la Corbeille.

step3Rechercher les fichiers générés par le logiciel de publicité dans le dossier ~/Library/LaunchAgents:

Supprimer le logiciel de publicité à partir du - dossier lancerlesagents étape 1


Dans la barre Aller au dossier, taper : ~/Library/LaunchAgents

Supprimer le logiciel de publicité à partir du - dossier lancerlesagents étape 2

Dans le dossier “LancerlesAgents”, recherché tous les fichiers suspects récemment ajoutés et déplacez-les dans la Corbeille. Exemples de fichiers générés par un logiciel de publicité- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Le logiciel de publicité installe habituellement plusieurs fichiers avec la même chaîne.

step4Rechercher les fichiers générés par le logiciel de publicité dans le dossier /Library/LaunchDaemons:

Supprimer le logiciel de publicité à partir du dossier lancerlesagents étape 1Dans la barre Aller au dossier, taper : /Library/LaunchDaemons

Supprimer le logiciel de publicité à partir du dossier lancerlesagents étape 2Dans le dossier “LaunchDaemons” , rechercher tous les fichiers suspects récemment ajoutés . Par exemple, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., et déplacez-les dans la Corbeille.

5 Scanner votre Mac avec Combo Cleaner:

Si vous avez suivi toutes les étapes dans le bon ordre votre Mac devrait être libre de toutes infections. Pour être sûr que votre système n’est pas infecté exécuté un scan avec l’antivirus Combo Cleaner. Télécharger ICI. Après avoir téléchargé le fichier double cliqué sur combocleaner.dmg installer, dans la fenêtre ouverte glisser et déposer l’icône Combo Cleaner sur le dessus de l’icône Applications. Maintenant ouvrez votre launchpad et cliquer sur l’icône Combo Cleaner. Attendez jusqu’à Combo Cleaner mette à jour sa banque de données de définition de virus et cliquer sur le bouton 'Démarrez Combo Cleaner'.

scan-with-combo-cleaner-1

Combo Cleaner scanner votre Mac à la recherche d’infections de logiciels malveillants. Si le scan de l’antivirus affiche 'aucune menace trouvée' – cela signifie que vous pouvez continuez avec le guide de suppression, autrement il est recommandé de supprimer toute infection avant de continuer.

scan-with-combo-cleaner-2

Après avoir supprimé les fichiers et les dossiers générés par le logiciel de publicité, continuer pour supprimer les extensions escrocs de vos navigateurs internet.

Suppression du porte dérobée xcodespy dans les navigateurs Internet :

safari browser iconSuppression des extensions malicieuses dans Safari:

Suppression des extensions reliées à porte dérobée xcodespy dans Safari :

préférences du navigateur safari

Ouvrez le navigateur Safari. Dans la barre menu, sélectionner "Safari" et cliquer "Préférences...".

fenêtre des extensions de safari

Dans la fenêtre préférences, sélectionner "Extensions" et rechercher tous les extensions suspectes récemment installées. Quand vous l'avez trouvée, cliquer le bouton "Désinstaller" à côté de celle (s)-ci. Noter que vous pouvez désinstaller de façon sécuritaire les extensions dans vote navigateur Safari - aucune n'est cruciale au fonctionnement normal du navigateur.

  • Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Safari.

firefox browser iconSupprimer les plug-ins malicieux dans Mozilla Firefox:

Supprimer les ajouts reliés à porte dérobée xcodespy dans Mozilla Firefox :

accéder aux ajouts de mozilla firefox

Ouvrez votre navigateur Mozilla Firefox. Dans le coin supérieur droit de l'écran, cliquer le bouton "Ouvrir le Menu" (trois lignes horizontales). Dans le menu ouvert, choisissez "Ajouts".

Suppression des ajouts malicieux dans mozilla firefox

Choisissez l'onglet "Extensions" et rechercher tous les ajouts suspects récemment installés. Quand vous l'avez trouvée, cliquer le bouton "Supprimer" à côté de celui (ceux)-ci. Noter que vous pouvez désinstaller de façon sécuritaire toutes les extensions dans vote navigateur Mozilla Firefox - aucune n'est cruciale au fonctionnement normal du navigateur.

  • Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Mozilla Firefox.

chrome-browser-iconSuppression des extensions malicieuses dans Google Chrome :

Suppression des ajouts reliés à porte dérobée xcodespy dans Google Chrome :

Suppression des extensions malicieuses dans Google Chrome étape 1

Ouvrez Google Chrome et cliquer le bouton "menu Chrome" (trois lignes horizontales) localisé dans le coin supérieur droit de la fenêtre du navigateur. À partir du menu déroulant, cliquer "Plus d'outils" et sélectionner "Extensions".

Suppression des extensions malicieuses dans Google Chrome étape 2

Dans la fenêtre "Extensions" et rechercher tous les ajouts suspects récemment installés. Quand vous l'avez trouvée, cliquer le bouton "Corbeille" à côté de celui (ceux)-ci. Noter que vous pouvez désinstaller de façon sécuritaire toutes les extensions dans vote navigateur Safari - aucune n'est cruciale au fonctionnement normal du navigateur.

  • Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Google Chrome.

Cliquez pour poster un commentaire

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
Porte dérobée XcodeSpy Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du Porte dérobée XcodeSpy sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de Porte dérobée XcodeSpy aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Combo Cleaner (Mac)

Plateforme: macOS

Note de l’éditeur pour Combo Cleaner:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. Essai gratuit limité de trois jours disponible.