Une alerte est lancée concernant l’environnement Mac d’Apple. Le malware Xagent fait actuellement des victimes. Son objectif est de détourner des mots de passe et les sauvegardes d’un iPhone.
Les premières analyses autour de cette situation évoquent des pirates motivés et surement à l’origine de la menace APT28. Il est rapporté qu’ils ont renforcé leur arsenal avec une version plus sophistiquée du malware Xagent.
Cette nouvelle itération peut désormais cibler les utilisateurs sous macOS dans le but de leur dérober des mots de passe, de voler leurs sauvegardes iPhone stockées sur leurs appareil et de faire des captures d’écran.
macOS, Xagent est un malware sophistiqué
Cette affaire n’est pas totalement nouvelle puisque certains experts établissent des liens avec l’une des plus grandes campagnes de cyber-espionnage, présument liée à la Russie. Le programme découverte dans l’environnement d’Apple est lié à la version Mac du composant Xagent de Sofacy / APT28 / Sednit APT. Il est décrit comme une porte dérobée dite « modulaire » avec des capacités avancées de cyber-espionnage. Son installation est probablement assurée via le downloader Komplex.
Bitdefender précise à son sujet
« Une fois installée avec succès, la porte dérobée vérifie si un débogueur est attaché au processus. S’il en détecte un, il s’arrête lui-même pour empêcher l’exécution. Sinon, il attend qu’une connexion Internet soit établie avant de lancer la communication avec les serveurs C&C. Une fois la communication établie, la charge utile démarre les modules. Notre analyse préliminaire montre que la plupart des URL des serveurs C&C prennent l’apparence de noms de domaines Apple. Une fois connecté au C&C, la charge utile envoie un “HelloMessage“, puis génère deux fils de communication s’exécutant en boucles infinies. Le premier utilise des requêtes POST pour envoyer des informations au C&C, tandis que le deuxième surveille les requêtes GET pour des commandes. »
La firme explique que selon ses propres recherches le malware Xagent pour Mac dispose de modules sophistiqués. Ils sont capables
« de sonder les configurations matérielles et logicielles du système, d’obtenir la liste des processus en cours d’exécution, d’exécuter des fichiers supplémentaires, d’obtenir des captures d’écran et de récolter les mots de passe du navigateur. Mais le module le plus important, du point de vue de la collecte d’informations, est celui qui permet aux pirates d’exfiltrer les sauvegardes d’un l’iPhone stockées sur un Mac corrompu»
Malware et Xagent sous macOS, comment se protéger ?
Il est fortement conseillé pour éviter ce type d’infection de ne pas utiliser des sources non officielles de téléchargement.
En clair les App store alternatifs sont à proscrire. Le Store Officiel reste la plateforme la plus sure mais cela n’empêche pas qu’il faut aussi bien prêter attention à la bonne renommée des développeurs.
