Κακόβουλο λογισμικό Xagent Mac

Το Xagent είναι το όνομα ενός κακόβουλου λογισμικού που μπορεί να μολύνει υπολογιστές με MacOS, μεταξύ άλλων συσκευών και λειτουργικών συστημάτων. Το κακόβουλο λογισμικό πιστεύεται ότι έχει συνδέσμους προς την απειλή ηθοποιού που είναι συλλογικά γνωστή ως Fancy Bear ή APT28 - μια οντότητα που λειτουργεί από τη Ρωσία και ορισμένοι πιστεύουν ότι υποστηρίζεται από τη ρωσική υπηρεσία πληροφοριών στρατιωτικών πληροφοριών.

Το κακόβουλο λογισμικό δεν προοριζόταν πάντα να στοχεύει υπολογιστές Mac. Σύμφωνα με ερευνητές ασφαλείας, η προέλευση του Xagent μπορεί να εντοπιστεί σε ένα κακόβουλο λογισμικό που ήταν ειδικά σχεδιασμένο για να μολύνει το λογισμικό που εκτελείται σε ουκρανικούς πυροβολιστές.

Μια προηγούμενη έκδοση του πηγαίου κώδικα Xagent αποκτήθηκε από ερευνητές ασφαλείας το 2015 και δημοσιεύθηκε μια εκτεταμένη ανάλυση. Ωστόσο, η έκδοση Mac του κακόβουλου λογισμικού είναι λίγο διαφορετική.

Το Xagent που επηρεάζει τους Mac διανέμεται μέσω του προγράμματος λήψης Komplex και μερικές φορές αναφέρεται επίσης ως XAgentOSX - ένα σύμπλεγμα του ονόματος κακόβουλου λογισμικού των Windows Xagent και του OS X - το όνομα του λειτουργικού συστήματος της Apple πριν από το 2016.

Η έκδοση Mac του Xagent μπορεί να λαμβάνει εντολές από τους χειριστές της χρησιμοποιώντας διακομιστές εντολών και ελέγχου. Επιπλέον, το κακόβουλο λογισμικό διαθέτει μια μονάδα keylogger και μπορεί να καταγράψει πατήματα πλήκτρων στον παραβιασμένο υπολογιστή.

Υπάρχει ένα ευρύ φάσμα εντολών που ο διακομιστής εντολών και ελέγχου μπορεί να τροφοδοτήσει το κακόβουλο λογισμικό στο μολυσμένο σύστημα. Αυτές περιλαμβάνουν εντολές για τη συλλογή πληροφοριών σχετικά με τις τρέχουσες διαδικασίες, το όνομα χρήστη και την έκδοση λειτουργικού συστήματος.

Επιπλέον, το Xagent μπορεί να ελέγξει εάν ο παραβιασμένος υπολογιστής διαθέτει αντίγραφο ασφαλείας μιας φορητής συσκευής iOS στον χώρο αποθήκευσής του. Το κακόβουλο λογισμικό μπορεί επίσης να κατεβάσει επιπλέον αρχεία από συγκεκριμένες τοποθεσίες. Μετά τη λήψη ενός αρχείου, ο διακομιστής C2 μπορεί επίσης να το εκτελέσει χρησιμοποιώντας διαφορετική εντολή. Τέλος, το κακόβουλο λογισμικό μπορεί επίσης να δημιουργήσει μια πλήρη λίστα όλων των αρχείων που βρίσκονται στο σύστημα προορισμού και να τραβήξει στιγμιότυπα οθόνης σε καθορισμένα χρονικά διαστήματα.

Όταν αναλύθηκε από την εταιρεία ασφαλείας Palo Alto Networks, το κακόβουλο λογισμικό βρέθηκε να επικοινωνεί με τους ακόλουθους διακομιστές C2:

23.227.196 [.] 215

apple-iclods [.] οργαν

apple-checker [.] οργαν

apple-uptoday [.] οργαν

αναζήτηση μήλου [.]

Οι ερευνητές πίστευαν επίσης ότι οι ηθοποιοί που χειρίζονται εκδόσεις Windows και Mac του κακόβουλου λογισμικού Xagent έχουν δημιουργήσει μια κεντρική υποδομή εντολών και ελέγχου, η οποία τους επιτρέπει να ελέγχουν συσκευές που εκτελούν και τα δύο λειτουργικά συστήματα χρησιμοποιώντας τους ίδιους διακομιστές και μεθόδους.

Το Xagent είναι πολύ πιο επικίνδυνο από το συνηθισμένο πρόγραμμα εισβολής του προγράμματος περιήγησης με ποικιλία κήπων που σχετίζεται συνήθως με τις λέξεις "κακόβουλο λογισμικό Mac". Ευτυχώς για τους τακτικούς οικιακούς χρήστες, χρησιμοποιείται κυρίως σε επιθέσεις υψηλής στόχευσης και δεν διανέμεται σε κακόβουλες καμπάνιες ηλεκτρονικού ταχυδρομείου που έχουν πολύ μεγαλύτερη εμβέλεια.

June 10, 2021
Uncategorized