Xagent Malware: Υποκλέπτει Passwords και iPhone Backups από χρήστες Mac
up_icon
Applications

Xagent Malware: Υποκλέπτει Passwords και iPhone Backups από χρήστες Mac

15 Φεβρουαρίου 2017 Vasilis Ananiadis

Xagent Malware: Υποκλέπτει Passwords και iPhone Backups από χρήστες Mac

Xagent Malware Mac

Μία νέα έκδοση του γνωστού Xagent malware, αναπτυγμένο από το Ρώσικο hacking group APT28, εντοπίστηκε στο διαδίκτυο και αυτή τη φορά στοχεύει τους χρήστες Mac.

Όπως αναφέρει σε σχετικό δημοσίευμα του το Bitdefender, το Xagent μέχρι πρότινος στόχευε συσκευές με Windows, iOS, Android και Linux, ωστόσο πλέον ήρθε η σειρά των Mac.

APT28 operators have upped their game – the Xagent payload now can target victims running Mac OS X to steal passwords, grab screens and steal iPhone backups stored on the Mac.

Last year we fully documented what appears to be one of the largest cyber-espionage campaigns ever, allegedly linked to the Russian territory.

The sample we are discussing today has been linked to the Mac OSX version of Xagent component from Sofacy/APT28/Sednit APT. This modular backdoor with advanced cyber-espionage capabilities is most likely planted on the system via the Komplex downloader.

Once successfully installed, the backdoor checks if a debugger is attached to the process. If it detects one, it terminates itself to prevent execution. Otherwise, it waits for an Internet connection before initiating communication with the C&C servers. After the communication has been established, the payload starts the modules.

Our preliminary analysis shows most of the C&C URLs impersonate Apple domains.

Once connected to the C&C, the payload sends a HelloMessage, then spawns two communication threads running in infinite loops. The former uses POST requests to send information to the C&C, while the latter monitors GET requests for commands.

Το Bitdefender δε γνωρίζει ακόμη με βεβαιότητα πως διανέμεται το Mac version του Xagent στους χρήστες, ωστόσο οι πρώτες ενδείξεις δείχνουν προς την πλευρά ενός macOS malware downloader με την ονομασία Komplex, ο οποίος εκμεταλλεύεται μια ευπάθεια στην εφαρμογή MacKeeper.

Η έρευνα συνεχίζεται και θα φροντίσουμε να σας ενημερώσουμε με νέο δημοσίευμα μόλις υπάρξουν νέα στοιχεία από την ομάδα της Bitdefender.

Vasilis Ananiadis

Ο ζωντανός θρύλος της Ελληνικής blogόσφαιρας, ο αβυσσαλέος master του SEO, o πρίγκηπας των Social Media, ο τυφώνας των Web Startups, ο οργασμός της ιντερνετικής επιτυχίας. Πατέρας δύο τέκνων, της Ζωής και της Darkpony Digital.

macuser_icon