XAgentOSX RAT
XAgentOSX RAT to trojan zdalnego dostępu wykorzystywany przez grupę hakerów Sofacy. Sofacy już atakował użytkowników komputerów Mac trojanem z tylnym wejściem o nazwie Komplex, ale badacze z Palo Alto Networks odkryli, że hakerzy mogą używać Komplex do dostarczania XAgentOSX RAT na zainfekowane systemy ze względu na rozszerzoną funkcjonalność tego ostatniego zagrożenia.
Po pomyślnej infiltracji XAgentOSX RAT inicjuje komunikację ze swoją infrastrukturą Command-and-Control (C2) za pomocą żądań HTTP POST do wysyłania danych i żądań GET w celu odebrania poleceń.
Aby zidentyfikować konkretną ofiarę, szkodliwe oprogramowanie generuje określoną wartość, którą nazywa „agent_id". Wartość reprezentuje pierwsze cztery cyfry uzyskane za pośrednictwem IOPlatformUUID, do którego można uzyskać dostęp za pomocą IOService. Analizując kod XAgentOSX RAT, badacze cyberbezpieczeństwa znaleźli błąd popełniony przez włamanie, gdy szkodliwe oprogramowanie tworzy tablicę z ciągami znaków dla możliwych lokalizacji swoich serwerów C2 w:
http://23.227.196.215/
http://apple-iclods.org/
http://apple-checker.org/
http://apple-uptoday.org/
http://apple-search.info
Jak być może zauważyłeś, w ostatnim ciągu brakuje symbolu „/" na końcu, co stwarza problemy, gdy złośliwe oprogramowanie próbuje go użyć.
XAgentOSX RAT ma nieprzyjemny zestaw funkcji
Po wysłaniu odpowiedniego polecenia do XAgentOSX RAT może zainicjować dowolną z wielu inwazyjnych funkcji szkodliwego oprogramowania. Hakerzy mogą wykorzystywać trojana do zbierania informacji systemowych i danych logowania, wyświetlania listy wszystkich uruchomionych procesów i wszystkich zainstalowanych aplikacji oraz manipulowania plikami - odczytywania, wykonywania, pobierania, wysyłania i usuwania plików. XAgentOSX RAT wykorzystuje metody CGGetActiveDisplayList, CGDisplayCreateImage, NSImage: initWithCGImage do wykonywania zrzutów ekranu, które następnie przesyła na swoje serwery C2. Szkodnik jest wyposażony w możliwość zbierania danych z przeglądarki Firefox, wyszukując „nazwę hosta", „zaszyfrowaną nazwę użytkownika" i „zaszyfrowane hasło" w pliku „logins.json".
Ciekawym dodatkiem do możliwości tego RAT jest polecenie sprawdzenia, czy zhakowane urządzenie zostało użyte do utworzenia kopii zapasowej iPhone'a lub iPada. Nie ma wątpliwości, że cyberprzestępcy podjęliby następnie próbę eksfiltracji tych plików.
A gdyby tego było mało, XAgentOSX RAT może również działać jako keylogger. Złośliwe oprogramowanie przechowuje przechwycone naciśnięcia klawiszy i po osiągnięciu z góry określonej ilości wysyła je na swoje serwery C2 za pomocą [zarejestrowanych naciśnięć klawiszy] .
