與俄羅斯黑客有關的新MacOS惡意軟件可以竊取密碼和iPhone備份

X-Agent間諜軟件的一個新變種現在針對的是蘋果macOS系統，該系統以前曾被用于針對Windows、iOS、Android和Linux設備的網絡攻擊。

該惡意軟件旨在竊取網絡瀏覽器密碼、截圖顯示、檢測系統配置、執行文件并過濾存儲在計算機上的iPhone備份。

X-Agent惡意軟件與俄羅斯黑客組織APT28— 也被稱為花式熊、索法西、塞德尼和典當風暴；這家公司至少從2007年開始運營，據稱與俄羅斯政府有關。

Bitdefender在周二發布的一篇博客文章中報道：“我們過去對已知與APT28 group有關的樣本進行的分析顯示，用于Windows/Linux的Sofacy/APT28/Sednit Xagent組件與目前構成我們調查對象的Mac OS二進制文件之間存在許多相似之處”。

“這一次，出現了類似的模塊，如文件系統、鍵盤記錄器和RemoteShell，以及一個名為HttpChanel的類似網絡模塊”。

與其他平臺的變體一樣，Mac版的X-Agent間諜軟件也充當了一個后門，具有先進的網絡間諜功能，可以根據攻擊目標進行定制。

此外，X-Agent是通過利用目標計算機上安裝的MacKeeper軟件和已知惡意軟件滴管中的漏洞植入的復雜的— APT28用來感染機器的第一階段特洛伊木馬。

上述證據表明，新發現的Mac版X-Agent也是由同一個俄羅斯黑客組織制造的。

成功安裝后，后門將檢查是否存在調試器，如果找到調試器，則會自行終止以阻止執行。但如果沒有，后門將等待互聯網連接與命令和控制服務器進行通信。

Bitdefender的研究人員說：“通信建立后，有效載荷啟動模塊。我們的初步分析顯示，大多數C&C URL模擬蘋果域名”。

“一旦連接到C&C，有效負載發送一條HelloMessage，然后產生兩個無限循環運行的通信線程。前者使用POST請求向C&C發送信息，而后者監視獲取命令請求”。

這項研究仍在進行中，Bitdefender安全研究人員目前只有Mac惡意軟件樣本，而沒有攻擊工作原理的完整圖片。

APT28是兩個與俄羅斯有聯系的網絡間諜組織之一，他們被控去年侵入美國民主黨全國委員會的電子郵件服務器，并干擾2016年總統選舉。