XAgentOSX RAT
Le XAgentOSX RAT est un cheval de Troie d'accès à distance utilisé par le groupe de hackers Sofacy. Sofacy attaquait déjà les utilisateurs de Mac avec un cheval de Troie de porte dérobée appelé Komplex, mais les chercheurs de Palo Alto Networks ont découvert que les pirates pourraient utiliser Komplex pour fournir le XAgentOSX RAT sur les systèmes compromis en raison de la fonctionnalité étendue de cette dernière menace.
Une fois l'infiltration réussie, le XAgentOSX RAT initie la communication avec son infrastructure de commande et de contrôle (C2) à l'aide de requêtes HTTP POST pour envoyer des données et de requêtes GET pour recevoir des commandes.
Pour identifier la victime spécifique, le malware génère une valeur spécifique qu'il nomme «agent_id». La valeur représente les quatre premiers chiffres acquis via l'IOPlatformUUID qui est accessible à l'aide d'IOService. Lors de l'analyse du code de XAgentOSX RAT, les chercheurs en cybersécurité ont trouvé une erreur du piratage, lorsque le malware crée un tableau avec des chaînes pour les emplacements possibles de ses serveurs C2 à:
http://23.227.196.215/
http://apple-iclods.org/
http://apple-checker.org/
http://apple-uptoday.org/
http://apple-search.info
Comme vous l'avez peut-être remarqué, il manque le symbole «/» à la fin de la dernière chaîne, ce qui crée des problèmes lorsque le logiciel malveillant tente de l'utiliser.
Le XAgentOSX RAT a un ensemble de fonctions désagréables
Lorsque la commande appropriée est envoyée au XAgentOSX RAT, il peut lancer l'une des multitudes de fonctions invasives du malware. Les pirates peuvent utiliser le cheval de Troie pour recueillir des informations système et des informations de connexion, répertorier tous les processus en cours d'exécution et toutes les applications installées et manipuler des fichiers - lire, exécuter, télécharger, télécharger et supprimer des fichiers. Le XAgentOSX RAT exploite les méthodes CGGetActiveDisplayList, CGDisplayCreateImage, NSImage: initWithCGImage pour prendre des captures d'écran qu'il télécharge ensuite sur ses serveurs C2. Le logiciel malveillant est équipé de la capacité de collecter des données de Firefox en recherchant «hostname», «encryptedUsername» et «encryptedPassword» dans le fichier «logins.json».
Un ajout intéressant aux capacités de ce RAT est la commande pour vérifier si l'appareil compromis a été utilisé pour sauvegarder un iPhone ou un iPad. Il ne fait aucun doute que les cybercriminels tenteront alors d'exfiltrer ces fichiers.
Et si cela ne suffisait pas, le XAgentOSX RAT peut également servir de keylogger. Le logiciel malveillant stocke les frappes capturées et, après avoir atteint un montant prédéterminé, les envoie à ses serveurs C2 en utilisant [frappes enregistrées] .
