APT28 è il nome di un gruppo di hacker russi responsabile di numerosi attacchi e creatori di minacce che sono state in grado di infettare dispositivi Windows, iOS, Android e Linux. L’ultima creazione del gruppo è un malware dal codice complesso in grado di compromettere dispositivi MacOS.
Il malware è già noto, si chiama Xagent e la versione per Mac è un backdoor modulare che può essere personalizzato per soddisfare gli obiettivi dell’intrusore. A scoprirlo è stato il team di Bitdefender, svelando anche che Xagent è in grado di rubare le password digitate, scattare screenshot dello schermo e infiltrarsi nei backup di iOS eventualmente presenti sul dispositivo.
Come spiegano i ricercatori di Bitdefender:
Una volta installato con successo, il backdoor controlla se un debugger è collegato al processo. Se ne identifica uno si auto-termina in modo da prevenire l’esecuzione. Altrimenti attende la presenza di una connessione ad internet per iniziare a comunicare con i server C&C (command and control, una sorta di server pirata da cui controllare i Mac infettati). Una volta connesso al C&C, il payload (runtime interno al virus) manda un Hellomessage, ovvero un messaggio di “perlustrazione ” dei dispositivi con cui dialogare, quindi genera due thread (bus virtuali) di comunicazione intasandoli con loop infiniti, il primo con comandi di POST, per richieste di informazioni al C&C, il secondo monitora invece le richieste GET su eventuali comandi.
Ovvero, in parole povere, questo payload lancia una sorta di ping alle entità intorno per instaurare una comunicazione con quelle non ostili, intasandole e intercettandone comandi e informazioni.
Le analisi rivelano la presenza di moduli che scandagliano il sistema in cerca di configurazioni hardware e software, ottengono un elenco dei processi in esecuzione ed eseguono altri file, ottengono screenshot del desktop e le password raccolte su browser. Il modulo più interessante, almeno dal punto di vista della raccolta di informazioni, è quello che consente all’intrusore di trovare i backup dell’iPhone salvati su Mac.
Un malware fuori dal comune, decisamente particolare e che verrà studiato ancora attentamente per capirne i futuri sviluppi.
Come prevenire Xagent su Mac?
Al momento non vi sono indicazioni specifiche, ma niente panico: questo tipo di malware viene utilizzato per attacchi mirati contro soggetti o istituzioni note, quindi l’utente comune non dovrebbe temere nulla. Il nostro consiglio rimane sempre lo stesso: aggiornate antivirus e antimalware, anche su Mac, e attenti a tutti i siti che visitate e ai file che scaricate.