Les utilisateurs Mac visés par une nouvelle variante du malware Xagent lié à l’APT28. Le malware sophistiqué Xagent s’attaque désormais aux utilisateurs Mac pour détourner des mots de passe et des sauvegardes iPhone.

Les pirates responsables de la menace APT28 ont renforcé leur arsenal - la charge utile du malware Xagent peut maintenant cibler des utilisateurs sous macOS dans le but de voler des mots de passe, faire des captures d’écran mais également voler des sauvegardes iPhone stockées sur le Mac.

L'année dernière, nous avions publié une étude complète sur ce qui s’est révélé être l'une des plus grandes campagnes de cyber-espionnage, présumément liée à la Russie.

L'échantillon auquel nous nous intéressons aujourd'hui est lié à la version Mac du composant Xagent de Sofacy / APT28 / Sednit APT. 

Cette porte dérobée modulaire avec des capacités avancées de cyber-espionnage est probablement installée sur le système via le downloader Komplex.

Une fois installée avec succès, la porte dérobée vérifie si un débogueur est attaché au processus. 

S'il en détecte un, il s’arrête lui-même pour empêcher l'exécution. Sinon, il attend qu’une connexion Internet soit établie avant de lancer la communication avec les serveurs C&C. Une fois la communication établie, la charge utile démarre les modules.

Notre analyse préliminaire montre que la plupart des URL des serveurs C&C prennent l’apparence de noms de domaines Apple.

Une fois connecté au C&C, la charge utile envoie un “HelloMessage“, puis génère deux fils de communication s'exécutant en boucles infinies. Le premier utilise des requêtes POST pour envoyer des informations au C&C, tandis que le deuxième surveille les requêtes GET pour des commandes.

Où ces modules d'espionnage macOS s’installent-ils ?

L'analyse révèle la présence de modules capables de sonder les configurations matérielles et logicielles du système, d’obtenir la liste des processus en cours d'exécution, d'exécuter des fichiers supplémentaires, d'obtenir des captures d'écran et de récolter les mots de passe du navigateur.

Mais le module le plus important, du point de vue de la collecte d’informations, est celui qui permet aux pirates d'exfiltrer les sauvegardes d’un l’iPhone stockées sur un Mac corrompu.
Tous ces modules sont en attente d'analyse (un document détaillé documentant toutes les fonctionnalités des modules sera disponible sous peu.)

Notre précédente analyse d’échantillons connus pour être liés au groupe APT28 montre un certain nombre de similitudes entre le composant Sofacy / APT28 / Sednit Xagent pour Windows / Linux, et le binaire macOS actuellement étudié par nos équipes. 

Pour une fois, la présence de modules similaires a été détectée, tels que FileSystem, KeyLogger et RemoteShell, ainsi qu'un module de réseau semblable appelé HttpChanel.

D'autres indicateurs montrent que l'échantillon d'aujourd'hui utilise également une adresse URL d’un serveur C&C identique au cheval de Troie OSX Komplex de Sofacy / APT28 / Sednit, moins le TLD (apple - [*******] .net pour Komplex vs apple - [* ******]. Org pour Xagent).

L’expertise forensique du binaire révèle aussi des chaînes binaires identiques dans les clients Komplex et Xagent, comme ci-dessous :

Chaîne binaire Komplex: "/ Users / kazak / Desktop / Project / komplex"
Chaîne binaire Xagent Mac: "/ Users / kazak / Desktop / Project / XAgentOSX"

Les équipes Bitdefender concluent donc cette première étape des analyses en supposant que c’est le composant Komplex découvert en septembre dernier qui a été utilisé afin de diffuser le malware Xagent sur macOS.

L'enquête est en cours. Une étude complète sera bientôt disponible.

De manière générale, les utilisateurs Mac soucieux d’éviter les malwares tels que Xagent devraient toujours éviter les App store alternatifs, et ne se fier qu’au Store officiel et aux développeurs disposant d’une bonne renommée.

*Analyse fournie par Tiberius Axinte, Responsable Technique chez BitdefenderLabs

Plus sur le site de Bitdefender.