Le malware XAgent des hackers russes d’APT28 sévie désormais sur Mac et peut extraire les sauvegardes d’iPhone

0
(adsbygoogle = window.adsbygoogle || []).push({});


Des chercheurs ont mis la main sur une version Mac du malware XAgent. Celui-ci permet de voler les mots de passe enregistrés sur les navigateurs, mais aussi les sauvegardes d’iPhone, riches en données personnelles.


malware-xagent-apt28-russe-mac-iphone

Millenium


Les utilisateurs de Mac se croient généralement à l’abri des virus et malware en tout genre que l’on retrouve sur Windows. APT28, le groupe de hackers russes associés aux services secrets russes, vient de siffler la fin de la récrée.

« Apt28 ont élevé leur niveau de jeu », les chercheurs en sécurité informatique de Bitdefender ont débusqué une variante Mac OS X du composant XAgent de Sofacy / APT28 / Sednit APT. Une backdoor largement utilisée par les hackers d’APT28 sur Windows / Linux, iOS et Android et qui leur a permis de pirater la messagerie du parti Démocrate en pleine campagne présidentielle américaine, selon le rapport du département à la Sécurité intérieure et le FBI.

Les hackers russes d’APT28 à la manoeuvre

Une fois installé (via un email de phishing, généralement), le logiciel vérifie si un débogueur est attaché au processus. S’il en détecte un, il s’interrompt pour empêcher l’exécution. Sinon, il attend qu’une connexion internet soit établie pour lancer la communication avec les serveurs de commande et de contrôle. APT28 est connu pour utiliser les URL très proches des structures visées, c’est le cas ici puisque la plupart des URL analysées se font passer pour des noms de domaines Apple.

« Une fois connecté au C&C, la charge utile envoie un ‘HelloMessage’, puis génère deux fils de communication s’exécutant en boucles infinies. Le premier utilise des requêtes POST pour envoyer des informations au C&C, tandis que le deuxième surveille les requêtes GET pour des commandes », précise Bitdefender.

Collecte des mots de passe et sauvegardes iPhone

À l’instar des variantes existantes, XAgent pour Mac est conçu de façon modulaire. Ces modules permettent de sonder les configurations matérielles et logicielles du système, d’exécuter des fichiers, prendre des captures d’écran et collecter les mots de passe enregistrés sur le navigateur.

L’un des modules, « le plus important en termes de collecte de renseignements » est celui qui permet d’exfiltrer les sauvegardes iPhone stockées sur le Mac. Sauvegardes qui peuvent être chiffrées depuis iTunes.

Outre le piratage du parti démocrate, les hackers d’APT 28 sont suspectés d’être à l’origine de la cyberattaque menée contre TV5 Monde, supposément revendiquée par Daesh.



Source link


vous pourriez aussi aimer Plus d'articles de l'auteur

Laisser un commentaire

Votre adresse email ne sera pas publiée.