Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets
Arlo

Sécurité : Bitdefender : Malware Xagent APT28 inquiète le Mac.
Posté par JerryG le 16/2/2017 15:00:00 Articles du même auteur

Les utilisateurs Mac visés par une nouvelle variante du malware Xagent lié à l’APT28. Le malware sophistiqué Xagent s’attaque désormais aux utilisateurs Mac pour détourner des mots de passe et des sauvegardes iPhone.



Les pirates responsables de la menace APT28 ont renforcé leur arsenal - la charge utile du malware Xagent peut maintenant cibler des utilisateurs sous macOS dans le but de voler des mots de passe, faire des captures d’écran mais également voler des sauvegardes iPhone stockées sur le Mac.

L'année dernière, nous avions publié une étude complète sur ce qui s’est révélé être l'une des plus grandes campagnes de cyber-espionnage, présumément liée à la Russie.

L'échantillon auquel nous nous intéressons aujourd'hui est lié à la version Mac du composant Xagent de Sofacy / APT28 / Sednit APT. 

Cette porte dérobée modulaire avec des capacités avancées de cyber-espionnage est probablement installée sur le système via le downloader Komplex.

Une fois installée avec succès, la porte dérobée vérifie si un débogueur est attaché au processus. 

S'il en détecte un, il s’arrête lui-même pour empêcher l'exécution. Sinon, il attend qu’une connexion Internet soit établie avant de lancer la communication avec les serveurs C&C. Une fois la communication établie, la charge utile démarre les modules.

Notre analyse préliminaire montre que la plupart des URL des serveurs C&C prennent l’apparence de noms de domaines Apple.

Une fois connecté au C&C, la charge utile envoie un “HelloMessage“, puis génère deux fils de communication s'exécutant en boucles infinies. Le premier utilise des requêtes POST pour envoyer des informations au C&C, tandis que le deuxième surveille les requêtes GET pour des commandes.

Où ces modules d'espionnage macOS s’installent-ils ?

L'analyse révèle la présence de modules capables de sonder les configurations matérielles et logicielles du système, d’obtenir la liste des processus en cours d'exécution, d'exécuter des fichiers supplémentaires, d'obtenir des captures d'écran et de récolter les mots de passe du navigateur.

Mais le module le plus important, du point de vue de la collecte d’informations, est celui qui permet aux pirates d'exfiltrer les sauvegardes d’un l’iPhone stockées sur un Mac corrompu.
Tous ces modules sont en attente d'analyse (un document détaillé documentant toutes les fonctionnalités des modules sera disponible sous peu.)

Notre précédente analyse d’échantillons connus pour être liés au groupe APT28 montre un certain nombre de similitudes entre le composant Sofacy / APT28 / Sednit Xagent pour Windows / Linux, et le binaire macOS actuellement étudié par nos équipes. 

Pour une fois, la présence de modules similaires a été détectée, tels que FileSystem, KeyLogger et RemoteShell, ainsi qu'un module de réseau semblable appelé HttpChanel.

D'autres indicateurs montrent que l'échantillon d'aujourd'hui utilise également une adresse URL d’un serveur C&C identique au cheval de Troie OSX Komplex de Sofacy / APT28 / Sednit, moins le TLD (apple - [*******] .net pour Komplex vs apple - [* ******]. Org pour Xagent).

L’expertise forensique du binaire révèle aussi des chaînes binaires identiques dans les clients Komplex et Xagent, comme ci-dessous :

Chaîne binaire Komplex: "/ Users / kazak / Desktop / Project / komplex"
Chaîne binaire Xagent Mac: "/ Users / kazak / Desktop / Project / XAgentOSX"

Les équipes Bitdefender concluent donc cette première étape des analyses en supposant que c’est le composant Komplex découvert en septembre dernier qui a été utilisé afin de diffuser le malware Xagent sur macOS.

L'enquête est en cours. Une étude complète sera bientôt disponible.

De manière générale, les utilisateurs Mac soucieux d’éviter les malwares tels que Xagent devraient toujours éviter les App store alternatifs, et ne se fier qu’au Store officiel et aux développeurs disposant d’une bonne renommée.

*Analyse fournie par Tiberius Axinte, Responsable Technique chez BitdefenderLabs

Plus sur le site de Bitdefender.

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
27/3/2023 15:00:00 - Dead Island 2 : PC et consoles, vidéo.
27/3/2023 14:00:00 - Pas d'applications mobiles récréatives pour Emmanuel Macron.
27/3/2023 13:00:00 - Mercusys MA86XE Adaptateur PCI WiFi 6E : le PC à vitesse maximale
27/3/2023 11:00:00 - Interview Insolite : Conversation amicalement avec ChatGPT
24/3/2023 15:00:00 - ArcheAge : MàJ, infos.
24/3/2023 14:00:00 - Farming Simulator 23 : Sur Nintedo Switch
24/3/2023 13:00:00 - La visibilité réseau pour mieux gérer les VPN désormais incontournables
22/3/2023 15:00:00 - Ne perdez pas votre client à cause d’un e-mail…
22/3/2023 14:00:00 - La copie électronique fidèle : un nouvel atout pour les Entreprises
22/3/2023 13:00:00 - L’ADN synthétique, une révolution à venir pour le stockage de données

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Bitdefender



Bitdefender

Pocketalk
Arlo





© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité