パスワードや iPhone のバックアップを盗む高度なマルウェア「Xagent」が Mac ユーザーをターゲットに

ロシアのハッカーグループ APT28 によって作成されたと伝えられているマルウェア Xagent の新バージョンが発見され、このバージョンは Mac ユーザーをターゲットにしています。

ウイルス対策会社 Bitdefender のブログ投稿 ( Ars Technica 経由) で概説されているように、Xagent はこれまで Windows、iOS、Android、Linux デバイスへの侵入に使用されてきましたが、現在では Mac も攻撃に対して脆弱です。これは、Mac に侵入できると考えられている Xagent の最初のバージョンです。

Xagent の Mac バージョンは、パスワードのログ記録、システム構成の検出、ファイルの実行、ディスプレイのスクリーンショットの撮影、Mac に保存されている iOS バックアップへのアクセスなどを行うためにカスタマイズできるバックドアとして説明されています。

今日説明するサンプルは、Sofacy/APT28/Sednit APT の Mac OSX バージョンの Xagent コンポーネントにリンクされています。高度なサイバースパイ機能を備えたこのモジュール式バックドアは、Komplex ダウンローダーを介してシステムに埋め込まれている可能性が高くなります。

インストールが正常に完了すると、バックドアはデバッガーがプロセスに接続されているかどうかを確認します。検出すると、実行を防ぐために自身を終了します。それ以外の場合は、インターネット接続を待ってから、C&C サーバーとの通信を開始します。

通信が確立された後、ペイロードによってモジュールが開始されます。私たちの予備分析では、C&C URL のほとんどが Apple ドメインになりすましていることがわかりました。

APT28は昨年、米民主党全国委員会をハッキングし、2016年の大統領選挙を妨害した疑いがあるサイバースパイ集団だ。

Bitdefender は、Mac 版 Xagent がどのようにしてユーザーに配布されているのか完全には把握していませんが、ウイルスのような MacKeeper ソフトウェアの脆弱性を悪用する Komplex と呼ばれる macOS マルウェア ダウンローダーを介して拡散する可能性があります。このマルウェアに関する研究は進行中です。

Xagent に懸念がある Mac ユーザーは、Mac App Store または有名な開発者から提供されたもの以外のものをダウンロードしないでください。

注: このトピックに関する議論は政治的な性質を持っているため、議論スレッドは 政治、宗教、社会問題 フォーラムにあります。すべてのフォーラム メンバーとサイト訪問者はスレッドを読んでフォローすることができますが、投稿できるのは少なくとも 100 件の投稿があるフォーラム メンバーに限られています。