Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Čeština Dansk Deutsch Eesti Español Français Hrvatski Nederlands Polski Português Slovenščina Suomi
Threat Database Mac Malware XAgentOSX RAT

XAgentOSX RAT

Por GoldSparrow em Mac Malware, Remote Administration Tools
Traduzir Para:
Português

O XAgentOSX RAT é um Trojan de Acesso Remoto empregado pelo grupo de hackers Sofacy. O Sofacy já estava atacando os usuários do Mac com um Trojan backdoor chamado Komplex, mas os pesquisadores da Palo Alto Networks descobriram que os hackers podem usar o Komplex para entregar o XAgentOSX RAT nos sistemas comprometidos devido à funcionalidade expandida da última ameaça.

Apó uma infiltração bem-sucedida, o XAgentOSX RAT inicia a comunicação com a sua infraestrutura de Comando e Controle (C2) usando solicitações HTTP POST para enviar dados e solicitações GET para receber comandos.

Para identificar a vítima específica, o malware gera um valor específico que chama de 'agent_id'. O valor representa os primeiros quatro dígitos adquiridos por meio do IOPlatformUUID que é acessado usando IOService. Ao analisar o código do XAgentOSX RAT, os pesquisadores de segurança cibernética encontraram um erro cometido pelo hack, quando o malware cria um array com strings para as possíveis localizações de seus servidores C2 em:

http://23.227.196.215/
http://apple-iclods.org/
http://apple-checker.org/
http://apple-uptoday.org/
http://apple-search.info

Como você deve ter notado, a última string está sem o símbolo '/' no final, o que cria problemas quando o malware tenta usá-la.

O XAgentOSX RAT tem um Conjunto Desagradável de Funções

Quando o comando apropriado é enviado ao XAgentOSX RAT, ele pode iniciar qualquer uma das múltiplas funções invasivas do malware. Os hackers podem usar o Trojan para coletar informações do sistema e credenciais de login, listar todos os processos em execução e todos os aplicativos instalados e manipular arquivos - ler, executar, baixar, fazer upload e excluir arquivos. O XAgentOSX RAT explora os métodos CGGetActiveDisplayList, CGDisplayCreateImage, NSImage: initWithCGImage para fazer capturas de tela que ele então envia para seus servidores C2. O malware é equipado com a capacidade de coletar dados do Firefox pesquisando 'nome do host', 'nome_de_usuário criptografado' e 'senha criptografada' no arquivo 'logins.json'.

Uma adição interessante às habilidades deste RAT é o comando para verificar se o dispositivo comprometido foi usado para fazer backup de um iPhone ou iPad. Não há dúvida de que os cibercriminosos tentariam exfiltrar esses arquivos.

E se isso não bastasse, o XAgentOSX RAT também pode atuar como um keylogger. O malware armazena as teclas capturadas e, ao atingir uma quantidade predeterminada, as envia para seus servidores C2 usando [teclas registradas] .

Tendendo

Mais visto

Carregando...