Обнаружена новая версия Xagent, вредоносного ПО, предположительно созданного российской хакерской группой APT28, и эта версия нацелена на пользователей Mac.
Как указано в блоге антивирусной компании Bitdefender (через Ars Technica), ранее Xagent использовался для проникновения в устройства с Windows, iOS, Android и Linux, а теперь и Mac уязвимы для атак. Это первая версия Xagent, которая, как полагают, способна проникать на Mac.
Версия Xagent для Mac описывается как бэкдор, который можно настроить для таких действий, как сбор паролей, обнаружение конфигураций системы, выполнение файлов, создание снимков экрана и доступ к резервным копиям iOS, хранящимся на Mac.
Рассматриваемый нами сегодня образец связан с версией Xagent для Mac OSX из группы Sofacy/APT28/Sednit APT. Этот модульный бэкдор с расширенными возможностями кибершпионажа, скорее всего, устанавливается в систему через загрузчик Komplex.
После успешной установки бэкдор проверяет, подключен ли отладчик к процессу. Если он его обнаруживает, он завершает собственную работу, чтобы предотвратить выполнение. В противном случае он ожидает подключения к Интернету, прежде чем инициировать связь с управляющими серверами (C&C).
После установления связи полезная нагрузка запускает модули. Наш предварительный анализ показывает, что большинство URL-адресов C&C маскируются под домены Apple.
APT28 — это группа кибершпионажа, которую обвиняют во взломе Национального комитета Демократической партии США в прошлом году и вмешательстве в президентские выборы 2016 года.
Bitdefender не до конца уверены в том, как версия Xagent для Mac распространяется среди пользователей, но она может распространяться через загрузчик вредоносного ПО для macOS под названием Komplex, который использует уязвимость в похожем на вирус программном обеспечении MacKeeper. Исследование вредоносного ПО продолжается.
Пользователям Mac, обеспокоенным Xagent, следует избегать загрузки чего-либо, кроме контента из Mac App Store или от известных разработчиков.
Примечание: В связи с политическим характером обсуждения данной темы, ветка обсуждения находится на нашем форуме «Политика, религия, социальные вопросы». Все участники форума и посетители сайта могут читать и следить за веткой, но публикация сообщений ограничена участниками форума, имеющими не менее 100 публикаций.
