Xagent Mac 恶意软件
Xagent 是一种恶意软件的名称,它可以感染运行 MacOS 的计算机以及其他设备和操作系统。据信,该恶意软件与统称为 Fancy Bear 或 APT28 的威胁行为者组织有联系,这是一个在俄罗斯境外运营的实体,有些人认为该组织得到了俄罗斯军事情报机构的支持。
该恶意软件并不总是针对 Mac 计算机。根据安全研究人员的说法,Xagent 的起源可以追溯到一种恶意软件,该恶意软件是为感染在乌克兰炮兵榴弹炮上运行的软件而量身定制的。
早在 2015 年,安全研究人员就获得了 Xagent 源代码的早期版本,并发表了广泛的分析。但是,该恶意软件的 Mac 版本略有不同。
影响 Mac 的 Xagent 通过 Komplex 下载器分发,有时也称为 XAgentOSX——Windows Xagent 恶意软件的名称和 OS X——2016 年之前 Apple 操作系统的名称的混搭。
Xagent 的 Mac 版本可以使用命令和控制服务器从其操作员那里接收命令。此外,该恶意软件是一个键盘记录模块,可以记录受感染机器上的击键。
命令和控制服务器可以将大量命令输入到受感染系统上的恶意软件中。其中包括用于收集有关当前正在运行的进程、用户名和操作系统版本信息的命令。
此外,Xagent 可以检查受感染计算机的存储中是否有移动 iOS 设备的备份。恶意软件还可以从指定位置下载其他文件。下载文件后,C2 服务器也可以使用不同的命令执行它。最后,恶意软件还可以创建目标系统上找到的所有文件的详尽列表,并按设定的时间间隔截取屏幕截图。
当安全公司 Palo Alto Networks 进行分析时,发现该恶意软件会联系以下 C2 服务器:
23.227.196[.]215
apple-iclods[.]org
苹果检查器[.]org
Apple-uptoday[.]org
苹果搜索[.]信息
研究人员还认为,同时运行 Xagent 恶意软件的 Windows 和 Mac 版本的攻击者已经建立了一个集中的命令和控制基础设施,这使他们能够使用相同的服务器和方法来控制运行两种操作系统的设备。
Xagent 比通常与“Mac 恶意软件”一词相关联的常见浏览器劫持程序危险得多。幸运的是,对于普通家庭用户来说,它主要用于针对性很强的攻击,而不是分布在影响范围更大的恶意垃圾邮件活动中。