Xagent Mac Malware

Xagent - это название вредоносной программы, которая может заразить компьютеры под управлением MacOS, а также другие устройства и операционные системы. Предполагается, что вредоносная программа связана с группой злоумышленников, известной под общим названием Fancy Bear или APT28 - организацией, действующей за пределами России, которая, по мнению некоторых, поддерживается российской военной разведкой.

Вредоносная программа не всегда предназначалась для компьютеров Mac. По мнению исследователей безопасности, происхождение Xagent можно проследить до вредоносного ПО, которое было специально разработано для заражения программного обеспечения, работающего на украинских артиллерийских гаубицах.

Более ранняя версия исходного кода Xagent была получена исследователями безопасности еще в 2015 году, и был опубликован подробный анализ. Однако версия вредоносного ПО для Mac немного отличается.

Xagent, который влияет на компьютеры Mac, распространяется через загрузчик Komplex и также иногда упоминается как XAgentOSX - гибрид названия вредоносной программы Windows Xagent и OS X - названия ОС Apple до 2016 года.

Версия Xagent для Mac может получать команды от операторов с помощью серверов управления и контроля. Кроме того, вредоносная программа является модулем кейлоггера и может записывать нажатия клавиш на взломанной машине.

Существует широкий спектр команд, которые сервер управления и контроля может передать вредоносной программе в зараженной системе. К ним относятся команды для сбора информации о текущих процессах, имени пользователя и версии ОС.

Кроме того, Xagent может проверить, есть ли на скомпрометированном компьютере резервная копия мобильного устройства iOS. Вредоносная программа также может загружать дополнительные файлы из указанных мест. После загрузки файла сервер C2 также может выполнить его с помощью другой команды. Наконец, вредоносная программа также может создавать исчерпывающий список всех файлов, обнаруженных в целевой системе, и делать снимки экрана через определенные промежутки времени.

В ходе анализа, проведенного компанией по безопасности Palo Alto Networks, было обнаружено, что вредоносное ПО обращалось к следующим серверам C2:

23.227.196 [.] 215

яблоко-iclods [.] org

apple-checker [.] org

яблоко-uptoday [.] org

яблоко-поиск [.] информация

Исследователи также считают, что субъекты, использующие версии вредоносного ПО Xagent как для Windows, так и для Mac, создали централизованную инфраструктуру управления и контроля, которая позволяет им управлять устройствами, работающими под управлением обеих операционных систем, с использованием одних и тех же серверов и методов.

Xagent значительно более опасен, чем обычный угонщик браузера, который обычно ассоциируется со словами «вредоносное ПО для Mac». К счастью для обычных домашних пользователей, он в основном используется для высокоточных атак и не распространяется в кампаниях вредоносного спама, которые имеют гораздо больший охват.

June 10, 2021
Uncategorized