Logiciel malveillant Xagent Mac

Xagent est le nom d'un malware qui peut infecter les ordinateurs exécutant MacOS, entre autres appareils et systèmes d'exploitation. Le malware aurait des liens avec le groupe d'acteurs menaçants connu sous le nom de Fancy Bear ou APT28 - une entité opérant à partir de la Russie qui, selon certains, est soutenue par l'agence de renseignement militaire russe.

Le malware n'était pas toujours destiné à cibler les ordinateurs Mac. Selon les chercheurs en sécurité, les origines de Xagent peuvent être attribuées à un logiciel malveillant conçu sur mesure pour infecter le logiciel exécuté sur les obusiers d'artillerie ukrainiens.

Une version antérieure du code source de Xagent a été obtenue par des chercheurs en sécurité en 2015 et une analyse approfondie a été publiée. Cependant, la version Mac du malware est un peu différente.

Xagent qui affecte les Mac est distribué via le téléchargeur Komplex et est également parfois appelé XAgentOSX - un mélange du nom du malware Windows Xagent et d'OS X - le nom du système d'exploitation d'Apple avant 2016.

La version Mac de Xagent peut recevoir des commandes de ses opérateurs à l'aide de serveurs de commande et de contrôle. De plus, le malware est un module d'enregistreur de frappe et peut enregistrer les frappes sur la machine compromise.

Il existe un large éventail de commandes que le serveur de commande et de contrôle peut intégrer au malware sur le système infecté. Ceux-ci incluent des commandes pour collecter des informations sur les processus en cours d'exécution, le nom d'utilisateur et la version du système d'exploitation.

De plus, Xagent peut vérifier si l'ordinateur compromis a une sauvegarde d'un appareil iOS mobile sur son stockage. Le malware peut également télécharger des fichiers supplémentaires à partir d'emplacements spécifiés. Une fois un fichier téléchargé, le serveur C2 peut également l'exécuter à l'aide d'une commande différente. Enfin, le malware peut également créer une liste exhaustive de tous les fichiers trouvés sur le système cible et prendre des captures d'écran à des intervalles de temps définis.

Lorsqu'il a été analysé par la société de sécurité Palo Alto Networks, il a été découvert que le logiciel malveillant contactait les serveurs C2 suivants :

23.227.196[.]215

apple-iclods[.]org

apple-checker[.]org

apple-uptoday[.]org

apple-search[.]info

Les chercheurs pensaient également que les acteurs utilisant à la fois les versions Windows et Mac du malware Xagent ont mis en place une infrastructure de commande et de contrôle centralisée, qui leur permet de contrôler les appareils exécutant les deux systèmes d'exploitation en utilisant les mêmes serveurs et méthodes.

Xagent est nettement plus dangereux que le pirate de navigateur de variété de jardin commun qui est communément associé aux mots « malware Mac ». Heureusement pour les utilisateurs domestiques réguliers, il est principalement utilisé dans des attaques très ciblées et n'est pas distribué dans des campagnes de courrier indésirable malveillantes qui ont une portée beaucoup plus grande.