Mac-Malware Xagent kann Passwörter und iOS-Backups entwenden

Malware-Chip-1200.jpg

Für macOS gibt es eine neue Malware, die Dateien stehlen und den Nutzer so ausspionieren kann. Die Malware stammt angeblich von der Hackergruppe, die unter den Namen Fancy Bear, Sofacy, Sednit, Strontium und APT28 auftritt und auch für die Operation Pawn Storm verantwortlich ist.

Nach der Analyse von Bitdefender handelt es sich um eine Variante der Windows-Malware Xagent. Das Unternehmen beschreibt sie als Backdoor mit Cyberspionagefähigkeiten, die mithilfe des Komplex-Downloaders eingeschleust wird. Für den Anwender kann das ernsthafte Konsequenzen haben: Auch iOS-Backups und Passwörter sind nicht sicher.

Gelangt die Backdoor auf ein System, prüft sie, ob ein Debugger aktiv ist und beendet sich anschließend. Andernfalls wartet sie auf eine Internetverbindung, um die Kommunikation mit einem Befehlsserver aufzunehmen, dessen URLs Apple-Domains nachahmen.

Die Spyware-Module von Xagent sind in der Lage, die Hardware- und Softwarekonfiguration eines Macs abzufragen und eine Liste aller laufenden Prozesse zu erstellen. Zudem kann Xagent Screenshots aufzeichnen und Browser-Passwörter ausspähen. Die wichtigste Spionagefunktion erlaubt es den Forschern zufolge jedoch, iPhone-Backups auszulesen, die auf einem kompromittierten Mac gespeichert sind. Bitdefender betont, dass die Analyse der Module noch nicht abgeschlossen ist.

Die Verbindung zu der angeblich aus Russland stammenden Hackergruppe stellte Bitdefender vor allem über Ähnlichkeiten bei den verwendeten Modulen wie FileSystem, KeyLogger, HttpChanel und RemoteShell her. Ihr Code entspreche dem Code der Module von Xagent für Windows und Linux. Weitere Überschneidungen ergäben sich bei Strings im Malware-Code.
Umfrage
Zu demselben Ergebnis kamen auch Forscher von Palo Alto Networks. Sie beschreiben in einem Blogeintrag zudem weitere Befehle, die Xagent ausführen kann. Demnach kann die Backdoor Dateien aus vorgegebenen Pfaden hochladen oder löschen, in festen Intervallen Screenshots aufzeichnen, das Firefox-Passwort auslesen, Dateien per FTP an beliebige Server übermitteln und Dateieigenschaften abfragen.

Palo Alto Networks hat darüber hinaus Hosting-Daten von Xagent für macOS mit denen der Windows-Variante verglichen. „Obwohl uns Telemetriedaten fehlen, waren wir in der Lage, eine lose Verbindung zu der Angriffskampagne herzustellen, die Sofacy gegen den Parteikongress der US-Demokraten ausgeführt hat.“

Allerdings wird Xagent bisher nur für zielgerichtete Angriffe verwendet. Generell ist die Verbreitung von Schadprogrammen für Apples Dekstopbetriebssystem sehr gering. Eine kürzlich in Word-Dokumenten entdeckte Mac-Malware belegt jedoch ein grundsätzliches Interesse von Cyberkriminellen an Apple-Produkten.

Tags :Quellen:Mit Material von Stefan Beiersmann, Zdnet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising