XAgentOSX RAT
XAgentOSX RAT on kaugjuurdepääsu Trooja, mida kasutab Sofacy häkkerite grupp. Sofacy ründas juba Mac-i kasutajaid tagauksega Troojana nimega Komplex, kuid Palo Alto Networks'i teadlased avastasid, et häkkerid võivad Kompromlexi abil XAgentOSX RAT-i tarnida rikutud süsteemides viimase ohu laiendatud funktsionaalsuse tõttu.
Eduka sissetungimise korral algatab XAgentOSX RAT side oma juhtimise ja juhtimise (C2) infrastruktuuriga, kasutades HTTP POST-i päringuid andmete saatmiseks ja GET-i päringute saamiseks käskude vastuvõtmiseks.
Konkreetse ohvri tuvastamiseks genereerib pahavara konkreetse väärtuse, mille ta nimetab 'agent_id'. Väärtus tähistab esimest nelja numbrit, mis on omandatud IOPlatformUUID kaudu, millele pääseb juurde IOService'i abil. XAgentOSX RAT koodi analüüsimisel leidsid küberturvalisuse uurijad häkkimise vea, kui pahavara loob stringide massiivi oma C2-serverite võimalike asukohtade jaoks aadressil:
http://23.227.196.215/
http://apple-iclods.org/
http://apple-checker.org/
http://apple-uptoday.org/
http://apple-search.info
Nagu olete märganud, puudub viimasel stringil sümbol '/', mis tekitab probleeme, kui pahavara seda kasutada üritab.
XAgentOSX RATil on vastikud funktsioonid
Kui XAgentOSX RAT-ile saadetakse sobiv käsk, võib see käivitada mis tahes pahavara invasiivsete funktsioonide hulga. Häkkerid saavad kasutada Trooja süsteemi andmete ja sisselogimismandaatide kogumiseks, kõigi käimasolevate protsesside ja kõigi installitud rakenduste loetlemiseks ning failidega manipuleerimiseks - failide lugemiseks, käivitamiseks, allalaadimiseks, üleslaadimiseks ja kustutamiseks. XAgentOSX RAT kasutab CGGetActiveDisplayList, CGDisplayCreateImage, NSImage: initWithCGImage meetodeid ekraanipiltide tegemiseks, mille ta seejärel oma C2-serveritesse üles laadib. Pahavara on varustatud võimalusega koguda andmeid Firefoxist, otsides failist „logins.json" otsinguid „hostname", „encryptedUsername" ja „encryptedPassword".
Selle RATi võimete huvitav täiendus on käsk kontrollida, kas rikutud seadet on kasutatud iPhone'i või iPadi varundamiseks. Pole kahtlust, et küberkurjategijad üritaksid siis neid faile välja filtreerida.
Ja kui sellest ei piisa, võib XAgentOSX RAT toimida ka klahvilogerina. Pahavara salvestab tabatud klahvivajutused ja saadab ettemääratud koguse saavutamisel need [logitud klahvivajutusi] kasutades oma C2-serveritesse.
