安全研究人員發現一個新的mac惡意軟體,該惡意軟體被設計用于竊取web浏覽器密碼,擷取顯示器螢幕截圖,檢測系統配置、執行檔案,以及提取計算機上存儲的iphone備份檔案。該間諜軟體之前曾被用于對windows、ios、安卓和linux裝置發動網絡攻擊。
據稱,該惡意軟體由名為apt28的俄羅斯網絡間諜團夥開發,該團夥也被稱為魔幻熊(fancy bear)、sofacy、sednit和兵風暴(pawn storm),至少從2007年開始營運。
apt28是俄羅斯的一個網絡間諜組織,被控于去年入侵了美國民主黨全國委員會的郵件伺服器,幹預了2016年美國總統選舉。bitdefender在周二釋出的一篇博文稱,
“我們之前對apt28團夥相關的樣本的分析表明,windows/linux系統中的sofacy/apt28/sednit xagent元件與目前我們正在調查的mac os二進制檔案存在很大相似性。”
“這次,出現了相似子產品,如filesystem、keylogger和remoteshell以及稱為httpchanel的相似的網絡子產品。”
如其他平台的變體類似,mac版本的x-agent間諜軟體也充當後門角色,具備進階網絡間諜能力,可根據攻擊目标進行自定義。
此外,x-agent可通過利用目标計算機安裝的mackeeper軟體中的漏洞以及知名的惡意軟體下載下傳工具komplex植入。komplex是apt28在第一階段用于感染機器的木馬程式。
以上證據表明,x-agent的最新發現的mac版本也是由同一俄羅斯黑客團夥開發。
一旦安裝成功,該後門程式檢查調試器是否存在,若存在,将終止自身運作以阻止其執行。若調試器不存在,該後門程式将等待建立網際網路連接配接與c&c伺服器通信。bitdefender的研究人員說,
“通信建立後,淨負荷會啟動子產品。我們初步分析,大多數的c&c url均模拟apple的域名。一旦成功連接配接c&c伺服器,淨負荷會發送hello消息,生成陷入死循環的兩個通信線程。一個通過post請求向c&c伺服器發送資訊,而另一個監控get請求以擷取指令。”
研究還正在繼續,bitdefender的安全研究人員剛剛擷取了mac惡意軟體樣本,還上不完全清楚攻擊如何執行。
原文釋出時間:2017年3月24日
本文由:hackernews釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/x-agent-spyware-variants-are-attacking-mac-systems
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站