XAgentOSX RAT
De XAgentOSX RAT is een Trojan voor externe toegang die wordt gebruikt door de Sofacy-hackergroep. Sofacy viel Mac-gebruikers al aan met een backdoor-trojan genaamd Komplex, maar de onderzoekers van Palo Alto Networks hebben ontdekt dat de hackers Komplex zouden kunnen gebruiken om de XAgentOSX RAT op de gecompromitteerde systemen te leveren vanwege de uitgebreide functionaliteit van de laatste bedreiging.
Na succesvolle infiltratie start de XAgentOSX RAT de communicatie met zijn Command-and-Control (C2) -infrastructuur met behulp van HTTP POST-verzoeken om gegevens te verzenden en GET-verzoeken om opdrachten te ontvangen.
Om het specifieke slachtoffer te identificeren, genereert de malware een specifieke waarde die het 'agent_id' noemt. De waarde vertegenwoordigt de eerste vier cijfers die zijn verkregen via de IOPlatformUUID waartoe toegang wordt verkregen via IOService. Bij het analyseren van de code van XAgentOSX RAT ontdekten de cybersecurity-onderzoekers een fout die door de hack was gemaakt, toen de malware een array met strings maakt voor de mogelijke locaties van zijn C2-servers op:
http://23.227.196.215/
http://apple-iclods.org/
http://apple-checker.org/
http://apple-uptoday.org/
http://apple-search.info
Zoals je misschien hebt gemerkt, mist de laatste tekenreeks het '/' - symbool aan het einde, wat problemen veroorzaakt wanneer de malware het probeert te gebruiken.
De XAgentOSX RAT heeft een vervelende reeks functies
Wanneer de juiste opdracht naar de XAgentOSX RAT wordt verzonden, kan deze een van de vele invasieve functies van de malware starten. De hackers kunnen de Trojan gebruiken om systeeminformatie en inloggegevens te verzamelen, alle lopende processen en alle geïnstalleerde applicaties te vermelden en bestanden te manipuleren - bestanden lezen, uitvoeren, downloaden, uploaden en verwijderen. De XAgentOSX RAT maakt gebruik van de CGGetActiveDisplayList, CGDisplayCreateImage, NSImage: initWithCGImage-methoden om schermafbeeldingen te maken die het vervolgens uploadt naar zijn C2-servers. De malware is uitgerust met de mogelijkheid om gegevens van Firefox te verzamelen door 'hostnaam', 'encryptedUsername' en 'encryptedPassword' op te zoeken in het 'logins.json'-bestand.
Een interessante toevoeging aan de mogelijkheden van deze RAT is de opdracht om te controleren of het gecompromitteerde apparaat is gebruikt om een back-up van een iPhone of iPad te maken. Het lijdt geen twijfel dat de cybercriminelen dan zouden proberen deze bestanden te exfiltreren.
En alsof dat nog niet genoeg is, kan de XAgentOSX RAT ook als keylogger fungeren. De malware slaat de vastgelegde toetsaanslagen op en stuurt ze, wanneer een vooraf bepaald aantal is bereikt, naar zijn C2-servers met behulp van [geregistreerde toetsaanslagen] .
