Xagent Mac-Malware
Xagent ist der Name einer Malware, die unter anderem Computer mit MacOS infizieren kann. Es wird angenommen, dass die Malware Verbindungen zu der Gruppe der Bedrohungsakteure hat, die gemeinsam als Fancy Bear oder APT28 bekannt ist – eine von Russland aus operierende Einheit, von der einige glauben, dass sie vom russischen Militärgeheimdienst unterstützt wird.
Die Malware war nicht immer für Mac-Computer gedacht. Die Ursprünge von Xagent gehen nach Angaben von Sicherheitsforschern auf eine Schadsoftware zurück, die speziell dafür entwickelt wurde, die Software von ukrainischen Artilleriehaubitzen zu infizieren.
Eine frühere Version des Xagent-Quellcodes wurde bereits 2015 von Sicherheitsforschern beschafft und eine umfangreiche Analyse veröffentlicht. Die Mac-Version der Malware ist jedoch etwas anders.
Xagent, das Macs betrifft, wird über den Komplex-Downloader vertrieben und wird manchmal auch als XAgentOSX bezeichnet – eine Mischung aus dem Namen der Windows-Xagent-Malware und OS X – dem Namen von Apples Betriebssystem vor 2016.
Die Mac-Version von Xagent kann mithilfe von Befehls- und Steuerungsservern Befehle von ihren Operatoren empfangen. Darüber hinaus verfügt die Malware über ein Keylogger-Modul und kann Tastenanschläge auf dem kompromittierten Computer aufzeichnen.
Es gibt eine Vielzahl von Befehlen, die der Command-and-Control-Server in die Malware auf dem infizierten System einspeisen kann. Dazu gehören Befehle zum Sammeln von Informationen über aktuell ausgeführte Prozesse, Benutzername und Betriebssystemversion.
Darüber hinaus kann Xagent überprüfen, ob auf dem Speicher des kompromittierten Computers ein Backup eines mobilen iOS-Geräts vorhanden ist. Die Malware kann auch zusätzliche Dateien von bestimmten Speicherorten herunterladen. Nachdem eine Datei heruntergeladen wurde, kann der C2-Server diese auch mit einem anderen Befehl ausführen. Schließlich kann die Malware auch eine vollständige Liste aller auf dem Zielsystem gefundenen Dateien erstellen und in festgelegten Zeitabständen Screenshots erstellen.
Bei der Analyse durch das Sicherheitsunternehmen Palo Alto Networks wurde festgestellt, dass die Malware die folgenden C2-Server kontaktiert:
23.227.196[.]215
apple-iclods[.]org
apple-checker[.]org
apple-uptoday[.]org
Apfelsuche[.]info
Die Forscher glaubten auch, dass die Akteure, die sowohl die Windows- als auch die Mac-Version der Xagent-Malware betreiben, eine zentralisierte Befehls- und Kontrollinfrastruktur eingerichtet haben, die es ihnen ermöglicht, Geräte, auf denen beide Betriebssysteme ausgeführt werden, mit denselben Servern und Methoden zu steuern.
Xagent ist deutlich gefährlicher als der gängige Browser-Hijacker der Gartenvarietät, der häufig mit den Worten "Mac-Malware" in Verbindung gebracht wird. Zum Glück für normale Heimanwender wird es hauptsächlich bei sehr gezielten Angriffen verwendet und nicht in bösartigen Spam-E-Mail-Kampagnen mit viel größerer Reichweite verbreitet.