Après Windows, Android, iOS et Linux, une version du logiciel malveillant XAgent (ou X-Agent), qui s’attaque désormais à Mac OS X, semble attribuée au groupe de pirates APT28 (aussi connu sous le nom de Fancy Bear). C’est en tout cas ce qu’estiment les chercheurs de Bitdefender. Rappelons que, d’après le renseignement américain, ce groupe serait affilié au GRU, l'agence de renseignement militaire russe.
Les chercheurs avancent que X-Agent est une porte dérobée modulaire qui a probablement été implantée sur les machines cibles via le Komplex Downloader. Une fois installée avec succès, la porte dérobée vérifie si un débogueur est attaché au processus. Si elle en détecte un, elle s’arrête elle-même pour en empêcher l'exécution. Sinon, elle attend une connexion Internet avant de lancer une communication avec les serveurs C&C. Dès que la communication est établie, le téléchargement des modules démarre.
En plus d’être capable de charger des modules supplémentaires, X-Agent peut être utilisé pour effectuer une reconnaissance sur le système cible en recueillant des informations sur les composants matériels et logiciels de l'hôte cible.
En septembre 2016, le chercheur Ryan Olson de Palo Alto a découvert que Fancy Bear utilisait le cheval de Troie Komplex pour cibler des organisations du secteur aéronautique utilisant le logiciel antivirus MacKeeper.
« Le groupe Sofacy, également connu sous les noms APT28, Pawn Storm, Fancy Bear et Sednit, continue d'accroître la variété des outils qu'il utilise dans les attaques ; dans ce cas, cibler des individus dans l'industrie aérospatiale qui se servent du système d'exploitation OS X. Au cours de notre analyse, nous avons déterminé que Komplex a été utilisé dans une campagne d'attaque précédente, visant des individus se servant d’OS X, qui exploitait une vulnérabilité dans l'application antivirus MacKeeper pour livrer Komplex en tant que charge utile », avançait Olson en septembre 2016.
« Komplex partage une grande quantité de fonctionnalités d’un autre outil utilisé par Sofacy : la variante Carberp que Sofacy avait utilisée lors de précédentes campagnes d'attaques sur des systèmes tournant sur Windows. En plus d’un code et de fonctionnalités partagés, nous avons également découvert des domaines de commande et de contrôle (C2) Komplex qui se chevauchaient avec des infrastructures de campagne de phishing déjà identifiées associées au groupe Sofacy », a-t-il continué.
Le malware Komplex présente de nombreuses similitudes avec le Trojan Carberp, il a été amélioré pour accéder aux systèmes PC et OS X et se sert du même serveur de commande et de contrôle.
La variante Mac OX S de X-Agent s'appuie sur des noms de domaine similaires à ceux utilisés par le cheval de Troie Komplex, ils ne diffèrent que pour le TLD. Les chercheurs ont remarqué des chaînes de caractères identiques dans des échantillons de Komplex et X-Agent, ce qui leur a suggéré l'implication de la même équipe de développement.
« ATP28 a amélioré son virus. La charge utile peut désormais attaquer les utilisateurs de MacOS afin de voler des mots de passe, de faire des captures d’écran, mais aussi de voler les backups des iPhone », expliquent les chercheurs de Bitdefender. La particularité de cette variante du virus XAgent est l’utilisation d’adresses web similaires à celles des domaines d’Apple pour passer sous les radars des systèmes de sécurité. Toujours selon Bitdefender, cette version qui est « une porte dérobée à plusieurs modules avec des capacités de cyber-espionnage avancées serait fort probablement implantée à travers le Komplex Downloder ».
Source : billet Bitdefender, billet Palo Alto Networks
Voir aussi :
XAgent : un malware qui dérobe les données personnelles sous iOS, découvert par les experts de Trend Micro
Des chercheurs découvrent une variante du malware X-Agent qui s'attaque aux Mac
Il sert de porte dérobée et dispose de plusieurs modules
Des chercheurs découvrent une variante du malware X-Agent qui s'attaque aux Mac
Il sert de porte dérobée et dispose de plusieurs modules
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !