www

Actualités

Les utilisateurs Mac visés par une nouvelle variante du malware Xagent lié à l’APT28

février 2017


Le malware sophistiqué Xagent s’attaque désormais aux utilisateurs Mac pour détourner des mots de passe et des sauvegardes iPhone

Les pirates responsables de la menace APT28 ont renforcé leur arsenal - la charge utile du malware Xagent peut maintenant cibler des utilisateurs sous macOS dans le but de voler des mots de passe, faire des captures d’écran mais également voler des sauvegardes iPhone stockées sur le Mac.

L'année dernière, nous avions publié une étude complète sur ce qui s’est révélé être l'une des plus grandes campagnes de cyber-espionnage, présumément liée à la Russie.

L'échantillon auquel nous nous intéressons aujourd'hui est lié à la version Mac du composant Xagent de Sofacy / APT28 / Sednit APT. Cette porte dérobée modulaire avec des capacités avancées de cyber-espionnage est probablement installée sur le système via le downloader Komplex.

Une fois installée avec succès, la porte dérobée vérifie si un débogueur est attaché au processus. S'il en détecte un, il s’arrête lui-même pour empêcher l'exécution. Sinon, il attend qu’une connexion Internet soit établie avant de lancer la communication avec les serveurs C&C. Une fois la communication établie, la charge utile démarre les modules.

Notre analyse préliminaire montre que la plupart des URL des serveurs C&C prennent l’apparence de noms de domaines Apple.

Une fois connecté au C&C, la charge utile envoie un “HelloMessage“, puis génère deux fils de communication s'exécutant en boucles infinies. Le premier utilise des requêtes POST pour envoyer des informations au C&C, tandis que le deuxième surveille les requêtes GET pour des commandes.

Où ces modules d'espionnage macOS s’installent-ils ?

L'analyse révèle la présence de modules capables de sonder les configurations matérielles et logicielles du système, d’obtenir la liste des processus en cours d'exécution, d'exécuter des fichiers supplémentaires, d'obtenir des captures d'écran et de récolter les mots de passe du navigateur.

Mais le module le plus important, du point de vue de la collecte d’informations, est celui qui permet aux pirates d'exfiltrer les sauvegardes d’un l’iPhone stockées sur un Mac corrompu.

Tous ces modules sont en attente d'analyse (un document détaillé documentant toutes les fonctionnalités des modules sera disponible sous peu.)

Notre précédente analyse d’échantillons connus pour être liés au groupe APT28 montre un certain nombre de similitudes entre le composant Sofacy / APT28 / Sednit Xagent pour Windows / Linux, et le binaire macOS actuellement étudié par nos équipes. Pour une fois, la présence de modules similaires a été détectée, tels que FileSystem, KeyLogger et RemoteShell, ainsi qu'un module de réseau semblable appelé HttpChanel.

D'autres indicateurs montrent que l'échantillon d'aujourd'hui utilise également une adresse URL d’un serveur C&C identique au cheval de Troie OSX Komplex de Sofacy / APT28 / Sednit, moins le TLD (apple - [*******] .net pour Komplex vs apple - [* ******]. Org pour Xagent).

L’expertise forensique du binaire révèle aussi des chaînes binaires identiques dans les clients Komplex et Xagent, comme ci-dessous :

Chaîne binaire Komplex: "/ Users / kazak / Desktop / Project / komplex"

Chaîne binaire Xagent Mac: "/ Users / kazak / Desktop / Project / XAgentOSX"

Les équipes Bitdefender concluent donc cette première étape des analyses en supposant que c’est le composant Komplex découvert en septembre dernier qui a été utilisé afin de diffuser le malware Xagent sur macOS.

L'enquête est en cours. Une étude complète sera bientôt disponible.

De manière générale, les utilisateurs Mac soucieux d’éviter les malwares tels que Xagent devraient toujours éviter les App store alternatifs, et ne se fier qu’au Store officiel et aux développeurs disposant d’une bonne renommée.

*Analyse fournie par Tiberius Axinte, Responsable Technique chez BitdefenderLabs

 


À propos de Bitdefender®

Bitdefender est une société internationale qui développe et édite des solutions de cybersécurité innovantes protégeant plus de 500 millions d'utilisateurs, dans plus de 150 pays. Depuis 2001, Bitdefender n’a cessé de fournir aux entreprises et aux particuliers, des technologies et des solutions régulièrement primées et est devenu un fournisseur majeur pour la sécurité des infrastructures hybrides, des postes de travail, ainsi qu’en matière de protection avancée contre toutes les formes de menaces. Grâce à ses investissements en R&D, sa capacité à innover en permanence pour garder une longueur d’avance sur les menaces, et de nombreux partenariats technologiques, Bitdefender a réhaussé les standards de sécurité les plus élevés de l’industrie en s’appuyant à la fois sur ses technologies et ses alliances stratégiques avec les principaux fournisseurs de technologies de virtualisation et de Cloud dans le monde. Plus d'informations sur http://www.bitdefender.fr/


Share