Threat Database Mac Malware XAgentOSX ŠTAKOR

XAgentOSX ŠTAKOR

XAgentOSX RAT je trojanski program za daljinski pristup koji koristi hakerska grupa Sofacy. Sofacy je već napadao korisnike Maca backdoor trojancem zvanim Komplex, ali istraživači iz Palo Alto Networks otkrili su da bi hakeri mogli koristiti Komplex za isporuku XAgentOSX RAT-a na ugrožene sustave zbog proširene funkcionalnosti potonje prijetnje.

Nakon uspješne infiltracije, XAgentOSX RAT započinje komunikaciju sa svojom infrastrukturom Command-and-Control (C2) koristeći HTTP POST zahtjeve za slanje podataka i GET zahtjeve za primanje naredbi.

Da bi identificirao određenu žrtvu, zlonamjerni softver generira određenu vrijednost koju naziva "agent_id". Vrijednost predstavlja prve četiri znamenke stečene putem IOPlatformUUID kojem se pristupa pomoću IOService. Tijekom analize koda XAgentOSX RAT-a, istraživači kibernetičke sigurnosti pronašli su pogrešku napravljenu hakiranjem kada zlonamjerni softver stvara niz sa nizovima za moguća mjesta svojih C2 poslužitelja na:

http://23.227.196.215/
http://apple-iclods.org/
http://apple-checker.org/
http://apple-uptoday.org/
http://apple-search.info

Kao što ste možda primijetili, posljednjem nizu na kraju nedostaje simbol '/', što stvara probleme kada ga zlonamjerni softver pokušava koristiti.

XAgentOSX RAT ima gadan skup funkcija

Kada se odgovarajuća naredba pošalje XAgentOSX RAT-u, ona može pokrenuti bilo koju od mnoštva zlonamjernog softvera invazivnih funkcija. Hakeri mogu koristiti trojanski program za prikupljanje podataka o sustavu i vjerodajnice za prijavu, popis svih pokrenutih procesa i svih instaliranih aplikacija te manipuliranje datotekama - čitanje, izvršavanje, preuzimanje, prijenos i brisanje datoteka. XAgentOSX RAT koristi CGGetActiveDisplayList, CGDisplayCreateImage, NSImage: initWithCGImage metode za snimanje zaslona koji potom prenosi na svoje C2 poslužitelje. Zlonamjerni softver opremljen je sposobnošću prikupljanja podataka iz Firefoxa pretragom "hostname", "encryptedUsername" i "encryptedPassword" iz datoteke "logins.json".

Zanimljiv dodatak mogućnostima ovog RAT-a je naredba da se provjeri je li oštećeni uređaj korišten za izradu sigurnosne kopije iPhonea ili iPada. Nema sumnje da bi cyber kriminalci tada pokušali izbaciti ove datoteke.

A ako to nije bilo dovoljno, XAgentOSX RAT također može djelovati kao keylogger. Zlonamjerni softver pohranjuje zarobljene pritiske tipki i, nakon postizanja unaprijed određene količine, šalje ih na svoje C2 poslužitelje pomoću [zabilježenih pritiskanja tipki] .

U trendu

Nagledanije

Učitavam...