Xagent Mac skadelig programvare

Xagent er navnet på et stykke skadelig programvare som kan infisere datamaskiner som kjører MacOS, blant andre enheter og operativsystemer. Det antas at skadelig programvare har lenker til trusselaktørgruppen samlet kjent som Fancy Bear eller APT28 - en enhet som opererer ut av Russland som noen mener støttes av det russiske militære etterretningsbyrået.

Skadelig programvare var ikke alltid ment for å målrette Mac-maskiner. Ifølge sikkerhetsforskere kan Xagents opprinnelse spores tilbake til et stykke malware som var skreddersydd for å infisere programvaren som kjører på ukrainske artillerihubits.

En tidligere versjon av Xagent-kildekoden ble innhentet av sikkerhetsforskere tilbake i 2015, og en omfattende analyse ble publisert. Imidlertid er Mac-versjonen av skadelig programvare litt annerledes.

Xagent som påvirker Mac-maskiner, distribueres gjennom Komplex-nedlastingsprogrammet og blir også noen ganger referert til som XAgentOSX - en sammenblanding av navnet på Windows Xagent-skadelig programvare og OS X - navnet på Apples operativsystem før 2016.

Mac-versjonen av Xagent kan motta kommandoer fra operatørene sine ved hjelp av kommando- og kontrollservere. I tillegg er skadelig programvare en keylogger-modul og kan registrere tastetrykk på den kompromitterte maskinen.

Det er et bredt utvalg av kommandoer som kommando- og kontrollserveren kan mate inn i skadelig programvare på det infiserte systemet. Disse inkluderer kommandoer for å samle informasjon om nåværende prosesser, brukernavn og OS-versjon.

I tillegg kan Xagent sjekke om den kompromitterte datamaskinen har en sikkerhetskopi av en mobil iOS-enhet på lagringsplassen. Den skadelige programvaren kan også laste ned flere filer fra bestemte steder. Når en fil er lastet ned, kan C2-serveren også utføre den ved hjelp av en annen kommando. Til slutt kan skadelig programvare også lage en uttømmende liste over alle filene som finnes på målsystemet og ta skjermbilder med bestemte tidsintervaller.

Da det ble analysert av sikkerhetsselskapet Palo Alto Networks, ble malware funnet å kontakte følgende C2-servere:

23.227.196 [.] 215

apple-iclods [.] org

apple-checker [.] org

apple-uptoday [.] org

eple-søk [.] info

Forskerne mente også at skuespillerne som driver både Windows- og Mac-versjoner av Xagent-skadelig programvare, har satt opp en sentralisert kommando- og kontrollinfrastruktur, som lar dem kontrollere enheter som kjører begge operativsystemene ved hjelp av de samme serverne og metodene.

Xagent er vesentlig farligere enn den vanlige nettleserkapreren i hagesorten som ofte er assosiert med ordene "Mac malware". Heldigvis for vanlige hjemmebrukere brukes den primært i høyt målrettede angrep og distribueres ikke i ondsinnede spam-e-postkampanjer som har mye større rekkevidde.

June 10, 2021
Uncategorized