XAgentOSX RAT
XAgentOSX RAT je trojanski program za oddaljeni dostop, zaposlen v skupini hekerjev Sofacy. Sofacy je že napadal uporabnike Maca z zakulisnim trojanskim programom Komplex, vendar so raziskovalci pri Palo Alto Networks odkrili, da bi hekerji lahko uporabili Komplex za dostavo XAgentOSX RAT-a na ogrožene sisteme zaradi razširjene funkcionalnosti slednje grožnje.
Po uspešni infiltraciji XAgentOSX RAT začne komunikacijo s svojo infrastrukturo za vodenje in upravljanje (C2) z uporabo HTTP POST zahtev za pošiljanje podatkov in GET zahtev za prejemanje ukazov.
Za prepoznavanje določene žrtve zlonamerna programska oprema ustvari določeno vrednost, ki jo poimenuje "agent_id". Vrednost predstavlja prve štiri številke, pridobljene prek IOPlatformUUID, do katerega dostopate s pomočjo IOService. Med analizo kode XAgentOSX RAT so raziskovalci kibernetske varnosti ugotovili napako, ki jo je povzročil kramp, ko zlonamerna programska oprema ustvari matriko z nizi za možne lokacije svojih strežnikov C2 na:
http://23.227.196.215/
http://apple-iclods.org/
http://apple-checker.org/
http://apple-uptoday.org/
http://apple-search.info
Kot ste morda že opazili, v zadnjem nizu na koncu manjka simbol '/', kar ustvarja težave, ko ga zlonamerna programska oprema poskuša uporabiti.
XAgentOSX RAT ima neprijeten nabor funkcij
Ko je ustrezen ukaz poslan XAgentOSX RAT, lahko sproži katero koli množico invazivnih funkcij zlonamerne programske opreme. Hekerji lahko trojanca uporabljajo za zbiranje sistemskih informacij in poverilnic za prijavo, seznam vseh zagnanih procesov in vseh nameščenih aplikacij ter upravljanje datotek - branje, izvajanje, prenos, nalaganje in brisanje datotek. XAgentOSX RAT izkorišča metode CGGetActiveDisplayList, CGDisplayCreateImage, NSImage: initWithCGImage, da posname posnetke zaslona, ki jih nato naloži na svoje strežnike C2. Zlonamerna programska oprema je opremljena z zmožnostjo zbiranja podatkov iz Firefoxa, tako da v datoteki 'logins.json' poišče 'ime gostitelja', 'encryptedUsername' in 'encryptedPassword'.
Zanimiv dodatek k zmožnostim tega RAT-a je ukaz za preverjanje, ali je bila ogrožena naprava uporabljena za varnostno kopiranje iPhona ali iPada. Nobenega dvoma ni, da bi kiber kriminalci nato poskušali izločiti te datoteke.
In če to ni bilo dovolj, lahko XAgentOSX RAT deluje tudi kot keylogger. Zlonamerna programska oprema shrani zajete pritiske tipk in jih po doseganju vnaprej določene količine s pomočjo [zabeleženih pritiskov tipk] pošlje svojim strežnikom C2.
