Xagent Mac malware

A Xagent annak a rosszindulatú programnak a neve, amely megfertőzheti a MacOS rendszert futtató számítógépeket, más eszközök és operációs rendszerek mellett. A rosszindulatú program vélhetően kapcsolatban áll a fenyegetésszereplők csoportjával, amely együttesen Fancy Bear vagy APT28 néven ismert - egy Oroszországból működő szervezet, amelyet egyesek szerint az orosz katonai hírszerző ügynökség támogat.

A rosszindulatú program nem mindig a Mac számítógépeket célozta meg. Biztonsági kutatók szerint a Xagent eredete egy olyan rosszindulatú programra vezethető vissza, amelyet az ukrán tüzérségi haubicákon futó szoftver megfertőzésére készítettek.

A Xagent forráskód korábbi verzióját a biztonság kutatói még 2015-ben megszerezték, és átfogó elemzést tettek közzé. A malware Mac verziója azonban egy kicsit más.

A Mac gépeket érintő Xagent a Komplex letöltőn keresztül terjesztik, és néha XAgentOSX néven is emlegetik - a Windows Xagent rosszindulatú program nevének és az OS X-nek a keverése - az Apple 2016 előtti operációs rendszerének neve.

Az Xagent Mac verziója parancsokat fogadhat operátoraitól parancs- és vezérlőszerverek segítségével. Ezenkívül a kártevő egy keylogger modult tartalmaz, és rögzítheti a billentyűleütéseket a sérült gépen.

A parancsok és vezérlőszerverek a fertőzött rendszer rosszindulatú programjaiba betölthetik a parancsok széles skáláját. Ezek parancsokat tartalmaznak a jelenleg futó folyamatokról, a felhasználónévről és az operációs rendszer verziójáról szóló információk gyűjtésére.

Ezenkívül a Xagent ellenőrizheti, hogy a megsértett számítógép rendelkezik-e biztonsági másolattal egy mobil iOS eszközről. A rosszindulatú program további fájlokat is letölthet a megadott helyekről. A fájl letöltése után a C2 szerver egy másik paranccsal is végrehajthatja. Végül a rosszindulatú program kimerítő listát is készíthet a célrendszeren található összes fájlról, és meghatározott időközönként képernyőképeket készíthet.

A Palo Alto Networks biztonsági cég elemzésével kiderült, hogy a rosszindulatú program a következő C2 szerverekkel lép kapcsolatba:

23.227.196 [.] 215

alma-iclods [.] org

almaellenőr [.] org

apple-uptoday [.] org

apple-search [.] info

A kutatók úgy vélték, hogy a Xagent kártevő Windows és Mac változatát egyaránt működtető szereplők központi parancs- és vezérlő infrastruktúrát hoztak létre, amely lehetővé teszi számukra, hogy mindkét operációs rendszert futtató eszközöket ugyanazon szerverek és módszerek segítségével vezéreljék.

A Xagent lényegesen veszélyesebb, mint az általános kerti változatú böngésző-gépeltérítő, amelyet általában a "Mac malware" szavakkal társítanak. Szerencsére a szokásos otthoni felhasználók számára elsősorban erősen célzott támadásoknál használják, és nem terjesztik rosszindulatú spam e-mail kampányokban, amelyek sokkal nagyobb elérést biztosítanak.