Die unter den Namen Fancy Bear, Sofacy, Sednit, Strontium und APT28 bekannte Hackergruppe, die auch für die Operation Pawn Storm verantwortlich ist, hat offenbar eine neue Malware für Apples Desktopbetriebssystem macOS in Umlauf gebracht. Laut Bitdefender handelt es sich um eine Variante der Windows-Malware Xagent. Das Unternehmen beschreibt sie als eine modulare Backdoor mit fortschrittlichen Cyberspionagefähigkeiten, die mithilfe des Komplex-Downloaders eingeschleust wird.
Die Spyware-Module von Xagent sind in der Lage, die Hardware- und Softwarekonfiguration eines Macs abzufragen und eine Liste aller laufenden Prozesse zu erstellen. Zudem kann Xagent Screenshots aufzeichnen und Browser-Passwörter ausspähen. Die wichtigste Spionagefunktion erlaubt es den Forschern zufolge jedoch, iPhone-Backups auszulesen, die auf einem kompromittierten Mac gespeichert sind. Bitdefender betont, dass die Analyse der Module noch nicht abgeschlossen ist.
Die Verbindung zu der angeblich aus Russland stammenden Hackergruppe stellte Bitdefender vor allem über Ähnlichkeiten bei den verwendeten Modulen wie FileSystem, KeyLogger, HttpChanel und RemoteShell her. Ihr Code entspreche dem Code der Module von Xagent für Windows und Linux. Weitere Überschneidungen ergäben sich bei Strings im Malware-Code.
Zu demselben Ergebnis kamen auch Forscher von Palo Alto Networks. Sie beschreiben in einem Blogeintrag zudem weitere Befehle, die Xagent ausführen kann. Demnach kann die Backdoor Dateien aus vorgegebenen Pfaden hochladen oder löschen, in festen Intervallen Screenshots aufzeichnen, das Firefox-Passwort auslesen, Dateien per FTP an beliebige Server übermitteln und Dateieigenschaften abfragen.
Palo Alto Networks hat darüber hinaus Hosting-Daten von Xagent für macOS mit denen der Windows-Variante verglichen. „Obwohl uns Telemetriedaten fehlen, waren wir in der Lage, eine lose Verbindung zu der Angriffskampagne herzustellen, die Sofacy gegen den Parteikongress der US-Demokraten ausgeführt hat.“
Allerdings wird Xagent bisher nur für zielgerichtete Angriffe verwendet. Generell ist die Verbreitung von Schadprogrammen für Apples Dekstopbetriebssystem sehr gering. Eine kürzlich in Word-Dokumenten entdeckte Mac-Malware belegt jedoch ein grundsätzliches Interesse von Cyberkriminellen an Apple-Produkten.
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
Weitere 40 Prozent der Deutschen erledigen ihre Geldgeschäfte überwiegend online und gehen nur noch selten…
Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…
Mit der zunehmenden computerbasierten und globalen Vernetzung gewinnt die digitale Souveränität an rasanter Bedeutung. Viele…