Xagent Mac 惡意軟件
Xagent 是一種惡意軟件的名稱,它可以感染運行 MacOS 的計算機以及其他設備和操作系統。據信,該惡意軟件與統稱為 Fancy Bear 或 APT28 的威脅行為者組織有聯繫,這是一個在俄羅斯境外運營的實體,一些人認為該組織得到了俄羅斯軍事情報機構的支持。
該惡意軟件並不總是針對 Mac 計算機。根據安全研究人員的說法,Xagent 的起源可以追溯到一種惡意軟件,該惡意軟件是為感染在烏克蘭砲兵榴彈砲上運行的軟件而量身定制的。
早在 2015 年,安全研究人員就獲得了 Xagent 源代碼的早期版本,並發表了廣泛的分析。但是,該惡意軟件的 Mac 版本略有不同。
影響 Mac 的 Xagent 通過 Komplex 下載器分發,有時也稱為 XAgentOSX——Windows Xagent 惡意軟件的名稱和 OS X——2016 年之前 Apple 操作系統的名稱的混搭。
Xagent 的 Mac 版本可以使用命令和控制服務器從其操作員那裡接收命令。此外,該惡意軟件是一個鍵盤記錄模塊,可以記錄受感染機器上的擊鍵。
命令和控制服務器可以將大量命令輸入到受感染系統上的惡意軟件中。其中包括用於收集有關當前正在運行的進程、用戶名和操作系統版本信息的命令。
此外,Xagent 可以檢查受感染計算機的存儲中是否有移動 iOS 設備的備份。惡意軟件還可以從指定位置下載其他文件。下載文件後,C2 服務器也可以使用不同的命令執行它。最後,惡意軟件還可以創建目標系統上找到的所有文件的詳盡列表,並按設定的時間間隔截取屏幕截圖。
當安全公司 Palo Alto Networks 進行分析時,發現該惡意軟件會聯繫以下 C2 服務器:
23.227.196[.]215
apple-iclods[.]org
蘋果檢查器[.]org
Apple-uptoday[.]org
蘋果搜索[.]信息
研究人員還認為,同時運行 Xagent 惡意軟件的 Windows 和 Mac 版本的攻擊者已經建立了一個集中的命令和控制基礎設施,這使他們能夠使用相同的服務器和方法來控制運行兩種操作系統的設備。
Xagent 比通常與“Mac 惡意軟件”一詞相關聯的常見瀏覽器劫持程序危險得多。幸運的是,對於普通家庭用戶來說,它主要用於針對性很強的攻擊,而不是分佈在影響範圍更大的惡意垃圾郵件活動中。