Złośliwe oprogramowanie Xagent Mac Mac

Xagent to nazwa złośliwego oprogramowania, które może infekować komputery z systemem MacOS, między innymi urządzenia i systemy operacyjne. Uważa się, że złośliwe oprogramowanie ma powiązania z ugrupowaniem cyberprzestępczym znanym jako Fancy Bear lub APT28 – podmiotem działającym poza Rosją, który według niektórych jest wspierany przez rosyjską agencję wywiadu wojskowego.

Złośliwe oprogramowanie nie zawsze było przeznaczone do atakowania komputerów Mac. Według badaczy bezpieczeństwa, pochodzenie Xagent można wywieść z fragmentu złośliwego oprogramowania, które zostało stworzone specjalnie do infekowania oprogramowania działającego na ukraińskich haubicach artyleryjskich.

W 2015 roku analitycy bezpieczeństwa uzyskali wcześniejszą wersję kodu źródłowego Xagent i opublikowano obszerną analizę. Jednak wersja tego złośliwego oprogramowania na komputery Mac jest nieco inna.

Xagent, który atakuje komputery Mac, jest dystrybuowany za pośrednictwem downloadera Komplex i jest czasami określany jako XAgentOSX – połączenie nazwy złośliwego oprogramowania Windows Xagent i OS X – nazwy systemu operacyjnego Apple sprzed 2016 roku.

Wersja platformy Xagent dla komputerów Mac może odbierać polecenia od swoich operatorów za pomocą serwerów dowodzenia i kontroli. Dodatkowo złośliwe oprogramowanie zawiera moduł keyloggera i może rejestrować naciśnięcia klawiszy na zaatakowanej maszynie.

Istnieje szeroki zakres poleceń, które serwer dowodzenia i kontroli może wprowadzić do złośliwego oprogramowania w zainfekowanym systemie. Należą do nich polecenia do zbierania informacji o aktualnie uruchomionych procesach, nazwie użytkownika i wersji systemu operacyjnego.

Ponadto Xagent może sprawdzić, czy na zaatakowanym komputerze znajduje się kopia zapasowa urządzenia mobilnego z systemem iOS. Złośliwe oprogramowanie może również pobierać dodatkowe pliki z określonych lokalizacji. Po pobraniu pliku serwer C2 może go również wykonać za pomocą innego polecenia. Wreszcie, złośliwe oprogramowanie może również utworzyć wyczerpującą listę wszystkich plików znalezionych w systemie docelowym i wykonywać zrzuty ekranu w określonych odstępach czasu.

Podczas analizy przeprowadzonej przez firmę zajmującą się bezpieczeństwem Palo Alto Networks, szkodliwe oprogramowanie kontaktowało się z następującymi serwerami C2:

23.227.196[.]215

apple-iclods[.]org

apple-checker[.]org

apple-uptoday[.]org

apple-search[.]info

Badacze byli również przekonani, że aktorzy obsługujący zarówno wersje złośliwego oprogramowania Xagent dla systemów Windows, jak i Mac stworzyli scentralizowaną infrastrukturę dowodzenia i kontroli, która pozwala im kontrolować urządzenia z obydwoma systemami operacyjnymi przy użyciu tych samych serwerów i metod.

Xagent jest znacznie bardziej niebezpieczny niż popularny porywacz przeglądarki, który jest powszechnie kojarzony ze słowami „złośliwe oprogramowanie dla komputerów Mac”. Na szczęście dla zwykłych użytkowników domowych jest on używany głównie w wysoce ukierunkowanych atakach i nie jest rozpowszechniany w złośliwych kampaniach spamowych e-mail, które mają znacznie większy zasięg.