Xagent Mac malware
A Xagent annak a rosszindulatú programnak a neve, amely megfertőzheti a MacOS rendszert futtató számítógépeket, más eszközök és operációs rendszerek mellett. A rosszindulatú program vélhetően kapcsolatban áll a fenyegetésszereplők csoportjával, amely együttesen Fancy Bear vagy APT28 néven ismert - egy Oroszországból működő szervezet, amelyet egyesek szerint az orosz katonai hírszerző ügynökség támogat.
A rosszindulatú program nem mindig a Mac számítógépeket célozta meg. Biztonsági kutatók szerint a Xagent eredete egy olyan rosszindulatú programra vezethető vissza, amelyet az ukrán tüzérségi haubicákon futó szoftver megfertőzésére készítettek.
A Xagent forráskód korábbi verzióját a biztonság kutatói még 2015-ben megszerezték, és átfogó elemzést tettek közzé. A malware Mac verziója azonban egy kicsit más.
A Mac gépeket érintő Xagent a Komplex letöltőn keresztül terjesztik, és néha XAgentOSX néven is emlegetik - a Windows Xagent rosszindulatú program nevének és az OS X-nek a keverése - az Apple 2016 előtti operációs rendszerének neve.
Az Xagent Mac verziója parancsokat fogadhat operátoraitól parancs- és vezérlőszerverek segítségével. Ezenkívül a kártevő egy keylogger modult tartalmaz, és rögzítheti a billentyűleütéseket a sérült gépen.
A parancsok és vezérlőszerverek a fertőzött rendszer rosszindulatú programjaiba betölthetik a parancsok széles skáláját. Ezek parancsokat tartalmaznak a jelenleg futó folyamatokról, a felhasználónévről és az operációs rendszer verziójáról szóló információk gyűjtésére.
Ezenkívül a Xagent ellenőrizheti, hogy a megsértett számítógép rendelkezik-e biztonsági másolattal egy mobil iOS eszközről. A rosszindulatú program további fájlokat is letölthet a megadott helyekről. A fájl letöltése után a C2 szerver egy másik paranccsal is végrehajthatja. Végül a rosszindulatú program kimerítő listát is készíthet a célrendszeren található összes fájlról, és meghatározott időközönként képernyőképeket készíthet.
A Palo Alto Networks biztonsági cég elemzésével kiderült, hogy a rosszindulatú program a következő C2 szerverekkel lép kapcsolatba:
23.227.196 [.] 215
alma-iclods [.] org
almaellenőr [.] org
apple-uptoday [.] org
apple-search [.] info
A kutatók úgy vélték, hogy a Xagent kártevő Windows és Mac változatát egyaránt működtető szereplők központi parancs- és vezérlő infrastruktúrát hoztak létre, amely lehetővé teszi számukra, hogy mindkét operációs rendszert futtató eszközöket ugyanazon szerverek és módszerek segítségével vezéreljék.
A Xagent lényegesen veszélyesebb, mint az általános kerti változatú böngésző-gépeltérítő, amelyet általában a "Mac malware" szavakkal társítanak. Szerencsére a szokásos otthoni felhasználók számára elsősorban erősen célzott támadásoknál használják, és nem terjesztik rosszindulatú spam e-mail kampányokban, amelyek sokkal nagyobb elérést biztosítanak.