Xagent Mac-skadlig programvara

Xagent är namnet på en skadlig kod som kan infektera datorer som kör MacOS, bland andra enheter och operativsystem. Skadlig programvara antas ha länkar till hotaktörsgruppen som gemensamt kallas Fancy Bear eller APT28 - en enhet som verkar från Ryssland som vissa tror stöds av den ryska militära underrättelsetjänsten.

Skadlig programvara var inte alltid avsedd att riktas mot Mac-datorer. Enligt säkerhetsforskare kan Xagents ursprung spåras till en bit av skadlig kod som var skräddarsydd för att infektera programvaran som körs på ukrainska artillerihubits.

En tidigare version av Xagent-källkoden erhölls av säkerhetsforskare redan 2015 och en omfattande analys publicerades. Men Mac-versionen av skadlig kod är lite annorlunda.

Xagent som påverkar Mac-datorer distribueras via Komplex-nedladdaren och kallas också ibland för XAgentOSX - en sammanblandning av Windows Xagent-malware-namnet och OS X - namnet på Apples operativsystem före 2016.

Mac-versionen av Xagent kan ta emot kommandon från sina operatörer med hjälp av kommando- och styrservrar. Dessutom kan skadlig programvara vara en keylogger-modul och kan spela in tangenttryckningar på den komprometterade maskinen.

Det finns ett brett utbud av kommandon som kommando- och kontrollservern kan mata in i skadlig programvara på det infekterade systemet. Dessa inkluderar kommandon för att samla in information om för närvarande körande processer, användarnamn och OS-version.

Dessutom kan Xagent kontrollera om den komprometterade datorn har en säkerhetskopia av en mobil iOS-enhet på sin lagring. Skadlig kod kan också ladda ner ytterligare filer från angivna platser. När en fil har laddats ner kan C2-servern också köra den med ett annat kommando. Slutligen kan skadlig programvara också skapa en uttömmande lista över alla filer som finns i målsystemet och ta skärmdumpar med angivna tidsintervall.

När det analyserades av säkerhetsföretaget Palo Alto Networks, visade sig skadlig programvara kontakta följande C2-servrar:

23.227.196 [.] 215

apple-iclods [.] org

apple-checker [.] org

apple-uptoday [.] org

apple-search [.] info

Forskarna trodde också att de aktörer som driver både Windows- och Mac-versioner av Xagent-skadlig programvara har skapat en centraliserad kommando- och kontrollinfrastruktur som gör att de kan styra enheter som kör båda operativsystemen med samma servrar och metoder.

Xagent är betydligt farligare än den vanliga webbläsarkaparen för trädgårdssorter som vanligtvis förknippas med orden "skadlig Mac". Lyckligtvis för vanliga hemanvändare används den främst i mycket riktade attacker och distribueras inte i skadliga skräppostkampanjer som har mycket större räckvidd.

June 10, 2021
Uncategorized