Xagent Mac Malware

Xagent er navnet på et stykke malware, der kan inficere computere, der kører MacOS, blandt andre enheder og operativsystemer. Det antages, at malware har links til trusselsaktørgruppen, der samlet kaldes Fancy Bear eller APT28 - en enhed, der opererer ud af Rusland, som nogle mener er bakket op af det russiske militære efterretningsagentur.

Malware var ikke altid beregnet til at målrette mod Mac-computere. Ifølge sikkerhedsforskere kan Xagents oprindelse spores tilbage til et stykke malware, der var skræddersyet til at inficere softwaren, der kører på ukrainske artillerihubits.

En tidligere version af Xagent-kildekoden blev opnået af sikkerhedsforskere tilbage i 2015, og en omfattende analyse blev offentliggjort. Mac-versionen af malware er dog lidt anderledes.

Xagent, der påvirker Mac'er, distribueres via Komplex-downloaderen og kaldes også undertiden XAgentOSX - en sammenblanding af Windows Xagent-malware-navnet og OS X - navnet på Apples OS før 2016.

Mac-versionen af Xagent kan modtage kommandoer fra sine operatører ved hjælp af kommando- og kontrolservere. Derudover har malware et keylogger-modul og kan registrere tastetryk på den kompromitterede maskine.

Der er en lang række kommandoer, som kommando- og kontrolserveren kan føje ind i malware på det inficerede system. Disse inkluderer kommandoer til at indsamle oplysninger om aktuelt kørende processer, brugernavn og OS-version.

Derudover kan Xagent kontrollere, om den kompromitterede computer har en sikkerhedskopi af en mobil iOS-enhed på lageret. Malwaren kan også downloade yderligere filer fra bestemte placeringer. Når en fil er downloadet, kan C2-serveren også udføre den ved hjælp af en anden kommando. Endelig kan malware også oprette en udtømmende liste over alle filer, der findes på målsystemet og tage skærmbilleder med bestemte tidsintervaller.

Når det blev analyseret af sikkerhedsselskabet Palo Alto Networks, blev malware fundet at kontakte følgende C2-servere:

23.227.196 [.] 215

apple-iclods [.] org

apple-checker [.] org

apple-uptoday [.] org

apple-search [.] info

Forskerne mente også, at de aktører, der betjener både Windows- og Mac-versioner af Xagent-malware, har oprettet en central kommando- og kontrolinfrastruktur, som giver dem mulighed for at kontrollere enheder, der kører begge operativsystemer ved hjælp af de samme servere og metoder.

Xagent er betydeligt farligere end den almindelige browser-hijacker, der ofte er forbundet med ordene "Mac malware". Heldigvis for almindelige hjemmebrugere bruges det primært i stærkt målrettede angreb og distribueres ikke i ondsindede spam-e-mail-kampagner, der har meget større rækkevidde.

June 10, 2021
Uncategorized