XAgentOSX RAT
Die XAgentOSX RAT ist ein RAS-Trojaner, der von der Sofacy-Hacker-Gruppe verwendet wird. Sofacy griff Mac-Benutzer bereits mit einem Backdoor-Trojaner namens Komplex an, aber die Forscher von Palo Alto Networks haben herausgefunden, dass die Hacker aufgrund der erweiterten Funktionalität der letzteren Bedrohung möglicherweise Komplex verwenden, um die XAgentOSX-RAT auf den gefährdeten Systemen bereitzustellen.
Nach erfolgreicher Infiltration initiiert der XAgentOSX RAT die Kommunikation mit seiner Command-and-Control-Infrastruktur (C2) mithilfe von HTTP-POST-Anforderungen zum Senden von Daten und GET-Anforderungen zum Empfangen von Befehlen.
Um das bestimmte Opfer zu identifizieren, generiert die Malware einen bestimmten Wert mit dem Namen "agent_id". Der Wert stellt die ersten vier Ziffern dar, die über die IOPlatformUUID erfasst wurden, auf die über IOService zugegriffen wird. Bei der Analyse des Codes von XAgentOSX RAT stellten die Cybersicherheitsforscher einen Fehler des Hacks fest, als die Malware ein Array mit Zeichenfolgen für die möglichen Standorte ihrer C2-Server erstellt:
http://23.227.196.215/
http://apple-iclods.org/
http://apple-checker.org/
http://apple-uptoday.org/
http://apple-search.info
Wie Sie vielleicht bemerkt haben, fehlt in der letzten Zeichenfolge das Symbol '/' am Ende, was zu Problemen führt, wenn die Malware versucht, es zu verwenden.
Die XAgentOSX RAT hat eine böse Reihe von Funktionen
Wenn der entsprechende Befehl an die XAgentOSX RAT gesendet wird, kann er eine der zahlreichen invasiven Funktionen der Malware initiieren. Die Hacker können den Trojaner verwenden, um Systeminformationen und Anmeldeinformationen zu sammeln, alle laufenden Prozesse und alle installierten Anwendungen aufzulisten und Dateien zu bearbeiten - Dateien lesen, ausführen, herunterladen, hochladen und löschen. Die XAgentOSX-RAT nutzt die Methoden CGGetActiveDisplayList, CGDisplayCreateImage, NSImage: initWithCGImage, um Screenshots zu erstellen, die sie dann auf ihre C2-Server hochlädt. Die Malware ist mit der Möglichkeit ausgestattet, Daten aus Firefox zu erfassen, indem in der Datei "logins.json" nach "Hostname", "encryptedUsername" und "encryptedPassword" gesucht wird.
Eine interessante Ergänzung zu den Fähigkeiten dieser RAT ist der Befehl, zu überprüfen, ob das gefährdete Gerät zum Sichern eines iPhone oder iPad verwendet wurde. Es besteht kein Zweifel, dass die Cyberkriminellen dann versuchen würden, diese Dateien zu filtern.
Und wenn das nicht genug wäre, kann der XAgentOSX RAT auch als Keylogger fungieren. Die Malware speichert die erfassten Tastenanschläge und sendet sie nach Erreichen einer festgelegten Menge mithilfe von [protokollierten Tastenanschlägen] an ihre C2-Server.
