Malware Xagent Mac
Xagent é o nome de um malware que pode infectar computadores que executam MacOS, entre outros dispositivos e sistemas operacionais. Acredita-se que o malware tenha links para o grupo de agentes de ameaças conhecido coletivamente como Fancy Bear ou APT28 - uma entidade operando na Rússia que alguns acreditam ser apoiada pela agência de inteligência militar russa.
O malware nem sempre se destinava a computadores Mac. De acordo com pesquisadores de segurança, as origens do Xagent podem ser rastreadas até um malware feito sob medida para infectar o software executado em obuses de artilharia ucranianos.
Uma versão anterior do código-fonte do Xagent foi obtida por pesquisadores de segurança em 2015 e uma análise extensa foi publicada. No entanto, a versão do malware para Mac é um pouco diferente.
O Xagent que afeta Macs é distribuído por meio do downloader Komplex e às vezes também é referido como XAgentOSX - um mash-up do nome do malware Xagent do Windows e OS X - o nome do sistema operacional da Apple antes de 2016.
A versão Mac do Xagent pode receber comandos de seus operadores usando servidores de comando e controle. Além disso, o malware é um módulo keylogger e pode gravar pressionamentos de tecla na máquina comprometida.
Existe uma ampla gama de comandos que o servidor de comando e controle pode alimentar no malware no sistema infectado. Esses incluem comandos para coletar informações sobre os processos em execução no momento, nome de usuário e versão do sistema operacional.
Além disso, o Xagent pode verificar se o computador comprometido tem um backup de um dispositivo móvel iOS em seu armazenamento. O malware também pode baixar arquivos adicionais de locais específicos. Depois de fazer o download de um arquivo, o servidor C2 também pode executá-lo usando um comando diferente. Finalmente, o malware também pode criar uma lista exaustiva de todos os arquivos encontrados no sistema de destino e fazer capturas de tela em intervalos de tempo definidos.
Quando analisado pela empresa de segurança Palo Alto Networks, o malware foi encontrado para entrar em contato com os seguintes servidores C2:
23,227,196 [.] 215
apple-iclods [.] org
apple-checker [.] org
apple-uptoday [.] org
apple-search [.] info
Os pesquisadores também acreditam que os atores que operam as versões para Windows e Mac do malware Xagent configuraram uma infraestrutura de comando e controle centralizada, que lhes permite controlar dispositivos que executam ambos os sistemas operacionais usando os mesmos servidores e métodos.
O Xagent é significativamente mais perigoso do que o sequestrador de navegador comum, comumente associado às palavras "malware para Mac". Felizmente para usuários domésticos regulares, ele é usado principalmente em ataques altamente direcionados e não é distribuído em campanhas de e-mail de spam mal-intencionado de alcance muito maior.