Licence pro více zařízení (množstevní slevy)

Změnit region

English Čeština Dansk Deutsch Eesti Español Français Hrvatski Nederlands Polski Português Slovenščina Suomi
Threat Database Mac Malware RAT XAgentOSX

RAT XAgentOSX

V roce GoldSparrow v roce Mac Malware, Remote Administration Tools
Přeložit do:
Čeština

XAgentOSX RAT je vzdálený trojský kůň využívaný hackerskou skupinou Sofacy. Sofacy již útočil na uživatele počítačů Mac pomocí trojského backdoor s názvem Komplex, ale vědci z Palo Alto Networks zjistili, že hackeři by mohli použít Komplex k dodání RAT XAgentOSX na kompromitovaných systémech kvůli rozšířené funkčnosti druhé hrozby.

Po úspěšné infiltraci zahájí XAgentOSX RAT komunikaci se svou infrastrukturou Command-and-Control (C2) pomocí požadavků HTTP POST k odesílání dat a požadavků GET k přijímání příkazů.

K identifikaci konkrétní oběti generuje malware konkrétní hodnotu, kterou pojmenuje „agent_id". Hodnota představuje první čtyři číslice získané prostřednictvím IOPlatformUUID, ke kterému se přistupuje pomocí IOService. Při analýze kódu XAgentOSX RAT našli vědci v oblasti kybernetické bezpečnosti chybu způsobenou hackerem, když malware vytvořil pole s řetězci pro možná umístění svých serverů C2 na adrese:

http://23.227.196.215/
http://apple-iclods.org/
http://apple-checker.org/
http://apple-uptoday.org/
http://apple-search.info

Jak jste si možná všimli, poslednímu řetězci na konci chybí symbol '/', což vytváří problémy, když se malware pokusí jej použít.

RAT XAgentOSX má odpornou sadu funkcí

Když je příslušný příkaz odeslán na XAgentOSX RAT, může iniciovat kterýkoli z mnoha malware invazivních funkcí. Hackeři mohou pomocí trojského koně shromažďovat informace o systému a přihlašovací údaje, vypisovat všechny spuštěné procesy a všechny nainstalované aplikace a manipulovat se soubory - číst, spouštět, stahovat, nahrávat a mazat soubory. RAT XAgentOSX využívá metody CGGetActiveDisplayList, CGDisplayCreateImage, NSImage: initWithCGImage k pořizování snímků obrazovky, které poté nahraje na své servery C2. Malware je vybaven schopností shromažďovat data z Firefoxu vyhledáním „hostname", „encryptedUsername" a „encryptedPassword" v souboru „logins.json".

Zajímavým doplňkem schopností tohoto RAT je příkaz ke kontrole, zda bylo napadené zařízení použito k zálohování iPhonu nebo iPadu. Není pochyb o tom, že by se kyberzločinci pokusili tyto soubory exfiltrovat.

A pokud to nestačilo, může XAgentOSX RAT fungovat také jako keylogger. Malware ukládá zaznamenané stisknutí kláves a po dosažení předem stanoveného množství je odesílá na své servery C2 pomocí [zaznamenaných stisků kláves] .

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
14,963
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...