Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets
Arlo

Sécurité : Bitdefender : Malware Xagent APT28 inquiète le Mac.
Posté par JerryG le 16/2/2017 15:00:00 Articles du même auteur

Les utilisateurs Mac visés par une nouvelle variante du malware Xagent lié à l’APT28. Le malware sophistiqué Xagent s’attaque désormais aux utilisateurs Mac pour détourner des mots de passe et des sauvegardes iPhone.



Les pirates responsables de la menace APT28 ont renforcé leur arsenal - la charge utile du malware Xagent peut maintenant cibler des utilisateurs sous macOS dans le but de voler des mots de passe, faire des captures d’écran mais également voler des sauvegardes iPhone stockées sur le Mac.

L'année dernière, nous avions publié une étude complète sur ce qui s’est révélé être l'une des plus grandes campagnes de cyber-espionnage, présumément liée à la Russie.

L'échantillon auquel nous nous intéressons aujourd'hui est lié à la version Mac du composant Xagent de Sofacy / APT28 / Sednit APT. 

Cette porte dérobée modulaire avec des capacités avancées de cyber-espionnage est probablement installée sur le système via le downloader Komplex.

Une fois installée avec succès, la porte dérobée vérifie si un débogueur est attaché au processus. 

S'il en détecte un, il s’arrête lui-même pour empêcher l'exécution. Sinon, il attend qu’une connexion Internet soit établie avant de lancer la communication avec les serveurs C&C. Une fois la communication établie, la charge utile démarre les modules.

Notre analyse préliminaire montre que la plupart des URL des serveurs C&C prennent l’apparence de noms de domaines Apple.

Une fois connecté au C&C, la charge utile envoie un “HelloMessage“, puis génère deux fils de communication s'exécutant en boucles infinies. Le premier utilise des requêtes POST pour envoyer des informations au C&C, tandis que le deuxième surveille les requêtes GET pour des commandes.

Où ces modules d'espionnage macOS s’installent-ils ?

L'analyse révèle la présence de modules capables de sonder les configurations matérielles et logicielles du système, d’obtenir la liste des processus en cours d'exécution, d'exécuter des fichiers supplémentaires, d'obtenir des captures d'écran et de récolter les mots de passe du navigateur.

Mais le module le plus important, du point de vue de la collecte d’informations, est celui qui permet aux pirates d'exfiltrer les sauvegardes d’un l’iPhone stockées sur un Mac corrompu.
Tous ces modules sont en attente d'analyse (un document détaillé documentant toutes les fonctionnalités des modules sera disponible sous peu.)

Notre précédente analyse d’échantillons connus pour être liés au groupe APT28 montre un certain nombre de similitudes entre le composant Sofacy / APT28 / Sednit Xagent pour Windows / Linux, et le binaire macOS actuellement étudié par nos équipes. 

Pour une fois, la présence de modules similaires a été détectée, tels que FileSystem, KeyLogger et RemoteShell, ainsi qu'un module de réseau semblable appelé HttpChanel.

D'autres indicateurs montrent que l'échantillon d'aujourd'hui utilise également une adresse URL d’un serveur C&C identique au cheval de Troie OSX Komplex de Sofacy / APT28 / Sednit, moins le TLD (apple - [*******] .net pour Komplex vs apple - [* ******]. Org pour Xagent).

L’expertise forensique du binaire révèle aussi des chaînes binaires identiques dans les clients Komplex et Xagent, comme ci-dessous :

Chaîne binaire Komplex: "/ Users / kazak / Desktop / Project / komplex"
Chaîne binaire Xagent Mac: "/ Users / kazak / Desktop / Project / XAgentOSX"

Les équipes Bitdefender concluent donc cette première étape des analyses en supposant que c’est le composant Komplex découvert en septembre dernier qui a été utilisé afin de diffuser le malware Xagent sur macOS.

L'enquête est en cours. Une étude complète sera bientôt disponible.

De manière générale, les utilisateurs Mac soucieux d’éviter les malwares tels que Xagent devraient toujours éviter les App store alternatifs, et ne se fier qu’au Store officiel et aux développeurs disposant d’une bonne renommée.

*Analyse fournie par Tiberius Axinte, Responsable Technique chez BitdefenderLabs

Plus sur le site de Bitdefender.

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
18/3/2024 15:00:00 - Sécuriser le cloud hybride : mission impossible ?
18/3/2024 14:00:00 - Attaques par déni de service distribué
18/3/2024 13:00:00 - Cinq applications pratiques de l'IA pour l'automatisation
15/3/2024 15:00:00 - Saviorless annonce sa date de sortie.
15/3/2024 14:00:00 - La France fait face à une nouvelle cyberattaque
15/3/2024 13:00:00 - L'IA; menace pour l’élection présidentielle de 2024
13/3/2024 15:00:00 - Ark of Charon sortira en 2024 sur Steam
13/3/2024 14:00:00 - Unicorn Overlord sur consoles
13/3/2024 13:00:00 - Quand les IA prendront le contrôle de nos vies
11/3/2024 15:00:00 - Le monde du Cloud et des datacenters aux enfants

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Bitdefender



Bitdefender

Pocketalk
Arlo





© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité