XAgentOSX RAT
XAgentOSX RAT er en Trojan med fjernadgang ansat af Sofacy-hacker-gruppen. Sofacy angreb allerede Mac-brugere med en bagdør trojan kaldet Komplex, men forskerne ved Palo Alto Networks har opdaget, at hackerne muligvis bruger Komplex til at levere XAgentOSX RAT på de kompromitterede systemer på grund af den udvidede funktionalitet af sidstnævnte trussel.
Efter vellykket infiltrering initierer XAgentOSX RAT kommunikation med sin Command-and-Control (C2) infrastruktur ved hjælp af HTTP POST-anmodninger om at sende data og GET-anmodninger om at modtage kommandoer.
For at identificere det specifikke offer genererer malware en bestemt værdi, som det navngiver 'agent_id'. Værdien repræsenterer de første fire cifre, der er erhvervet gennem IOPlatformUUID, der er adgang til ved hjælp af IOService. Mens de analyserede koden for XAgentOSX RAT, fandt cybersikkerhedsforskerne en fejl fra hacket, når malware opretter en matrix med strenge til de mulige placeringer af dens C2-servere på:
http://23.227.196.215/
http://apple-iclods.org/
http://apple-checker.org/
http://apple-uptoday.org/
http://apple-search.info
Som du måske har bemærket, mangler den sidste streng '/' symbolet i slutningen, hvilket skaber problemer, når malware forsøger at bruge det.
XAgentOSX RAT har et grimt sæt funktioner
Når den relevante kommando sendes til XAgentOSX RAT, kan den starte en hvilken som helst af malwareens mangfoldighed af invasive funktioner. Hackerne kan bruge Trojan til at indsamle systemoplysninger og loginoplysninger, liste alle kørende processer og alle installerede applikationer og manipulere filer - læse, udføre, downloade, uploade og slette filer. XAgentOSX RAT udnytter CGGetActiveDisplayList, CGDisplayCreateImage, NSImage: initWithCGImage metoder til at tage skærmbilleder, som den derefter uploader til sine C2-servere. Malwaren er udstyret med evnen til at indsamle data fra Firefox ved at slå 'værtsnavn', 'krypteret brugernavn' og 'krypteret adgangskode' op fra 'logins.json'-filen.
En interessant tilføjelse til denne RATs evner er kommandoen til at kontrollere, om den kompromitterede enhed er blevet brugt til at sikkerhedskopiere en iPhone eller en iPad. Der er ingen tvivl om, at cyberkriminelle derefter ville forsøge at exfiltrere disse filer.
Og hvis det ikke var nok, kan XAgentOSX RAT også fungere som en keylogger. Malware gemmer de fangede tastetryk og når de når et forudbestemt beløb sender de dem til sine C2-servere ved hjælp af [logget tastetryk] .
