XAgentOSX RAT
XAgentOSX RAT on etäkäyttöinen troijalainen, jota Sofacy-hakkeriryhmä käyttää. Sofacy hyökkäsi jo Mac-käyttäjiä Komplex-nimisellä takaoven troijalaisella, mutta Palo Alto Networksin tutkijat ovat havainneet, että hakkerit saattavat käyttää Komplexia toimittamaan XAgentOSX RAT: n vaarantuneisiin järjestelmiin jälkimmäisen uhan laajennetun toiminnallisuuden vuoksi.
Onnistuneen tunkeutumisen jälkeen XAgentOSX RAT aloittaa tiedonsiirron Command-and-Control (C2) -infrastruktuurinsa kanssa käyttäen HTTP POST -pyyntöjä tietojen lähettämiseksi ja GET-pyyntöjä komentojen vastaanottamiseksi.
Erityisen uhrin tunnistamiseksi haittaohjelma luo tietyn arvon, jonka se nimeää "agent_id". Arvo edustaa ensimmäisiä neljää numeroa, jotka on hankittu IOPlatformUUID: n kautta, johon pääsee IOServicea käyttämällä. Analysoidessaan XAgentOSX RAT -koodia kyberturvallisuuden tutkijat löysivät hakkeroinnin tekemän virheen, kun haittaohjelma luo matriisin, jossa on merkkijonot C2-palvelimiensa mahdollisille sijainneille:
http://23.227.196.215/
http://apple-iclods.org/
http://apple-checker.org/
http://apple-uptoday.org/
http://apple-search.info
Kuten olet ehkä huomannut, viimeisestä merkkijonosta puuttuu / -merkki lopussa, mikä aiheuttaa ongelmia, kun haittaohjelma yrittää käyttää sitä.
XAgentOSX RAT: lla on ikävä joukko toimintoja
Kun asianmukainen komento lähetetään XAgentOSX RAT: lle, se voi käynnistää minkä tahansa haittaohjelman joukosta invasiivisia toimintoja. Hakkerit voivat käyttää troijalaista järjestelmän tietojen ja kirjautumistietojen keräämiseen, kaikkien käynnissä olevien prosessien ja kaikkien asennettujen sovellusten luettelointiin ja tiedostojen käsittelyyn - tiedostojen lukemiseen, suorittamiseen, lataamiseen, lataamiseen ja poistamiseen. XAgentOSX RAT hyödyntää CGGetActiveDisplayList, CGDisplayCreateImage, NSImage: initWithCGImage -menetelmiä ottaakseen kuvakaappauksia, jotka se sitten lähettää C2-palvelimiin. Haittaohjelma on varustettu mahdollisuudella kerätä tietoja Firefoxista etsimällä 'hostname', 'encryptedUsername' ja 'encryptedPassword' tiedostosta 'logins.json'.
Mielenkiintoinen lisäys tämän RAT: n kykyihin on komento tarkistaa, onko vaarantunutta laitetta käytetty iPhonen tai iPadin varmuuskopiointiin. Ei ole epäilystäkään siitä, että verkkorikolliset yrittäisivät sitten suodattaa nämä tiedostot.
Ja jos se ei riitä, XAgentOSX RAT voi toimia myös näppäinlukijana. Haittaohjelma tallentaa siepatut näppäinpainallukset ja saavuttaessaan ennalta määrätyn määrän lähettää ne C2-palvelimilleen käyttämällä [kirjautuneet näppäinpainallukset] .
