Malver za Mac, XAgentOSX, povezan sa ruskim hakerima

Opisi virusa, 22.02.2017, 01:00 AM

Malver za Mac, XAgentOSX, povezan sa ruskim hakerima

Istraživači iz kompanije Palo Alto Networks otkrili su novi malver za Mac za koji veruju da ga koristi hakerska grupa Sofacy, poznata i po nazivima Fancy Bear, Pawn Storm i APT28.

Autori su ovog backdoor trojanaca nazvali XAgentOSX. Slično ime nosi i trojanac za Windows koji takođe pripada grupi Sofacy.

Istraživači su pronašli tragove u alatu koji ukazuju da je tvorac XAgentOSX ista osoba koja je stvorila downloader Komplex, još jedan alat koji koristi grupa Sofacy.

Istraživači misle da Sofacy koristi Komplex za preuzimanje i instalaciju alata XAgentOSX.

Verzija alata za Mac OS X koristi sličan metod mrežnih komunikacija kao i verzija alata za Windows.

XAgentOSX može da primi komande od napadača i da ih izvrši, da beleži kucanje na tastaturi, da pravi snimke ekrana, da prikuplja korisnička imena i lozinke, informacije o verziji OS X na računaru, da prikuplja informacije o tekućim procesima i aplikacijama instaliranim na računaru, proverava da li postoji rezervna kopija iOS uređaja na sistemu, da šalje i preuzima fajlove, da briše fajlove, da pretražuje lozinke sačuvane u Firefoxu i drugo.

Istraživači iz kompanije BitDefender takođe su analizirali ovaj malver i zaključili da moduli u Mac verziji XAgenta imaju brojne sličnosti sa komponentama za Windows ili Linux. Adrese komando-kontrolnih centara malvera su slične onima koje APT28 grupa koristi za Kompleks.

Veruje se da su članovi hakerske grupe Sofacy ili građani Rusije ili građani susednih zemalja koji govore ruski. Oni su aktivni u toku radnog vremena u Rusiji. Ciljevi koje je grupa napadala prethodnih godina ukazuju da grupa zastupa ruske nacionalne interese. Među njima su vojne i obaveštajne agencije, NATO i Bela kuća.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Pre nedelju dana otkriven je malver koji se pretvara da je Microsoftov sigurnosni skener. Namerno ili greškom, malver oštećuje fajlove žrtava. Ist... Dalje

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska Nacionalna žandarmerija objavila je juče da je više od 850000 računara širom sveta oslobođeno trenutno jednog od najraširenijeg malve... Dalje

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje