Hacker met zonnebril en laptop

‘Mac-malware Xagent steelt iPhone-backups en wachtwoorden’

Er is nieuwe Mac-malware opgedoken waarmee onder meer iPhone-backups en wachtwoorden gestolen kunnen worden. De malware wordt gelinkt aan de Russische hackersgroep APT28, die verdacht wordt van inmenging in de Amerikaanse presidentsverkiezingen.
Michel Lusthof - · Laatst bijgewerkt:

Hacker met zonnebril en laptopEr is nieuwe geavanceerde malware voor de Mac opgedoken, waarmee kwaadwillenden wachtwoorden en iPhone-backups kunnen stelen. De malware wordt ‘Xagent’ genoemd en wordt door beveiligingsbedrijf Bitdefender gelinkt aan ATP28, dezelfde Russische hackersgroep die verantwoordelijk wordt gehouden voor het beïnvloeden van de Amerikaanse presidentsverkiezingen. De malware vertoont veel gelijkenissen met soortgelijke malware voor Windows en Linux.

URL’s lijken alsof ze van Apple zijn

Bitdefender omschrijft Xagent op haar blog als een ‘modulaire backdoor met geavanceerde spionagemogelijkheden’. Dat wil zeggen dat de malware aangepast kan worden afhankelijk van het doel dat de hackers hebben. Volgens het bedrijf wordt Xagent op het systeem gedownload via een ander type malware, dat Komplex downloader wordt genoemd. Zodra Xagent succesvol op een Mac is geïnstalleerd, wacht het op een internetverbinding en worden de verschillende modules gedownload. Opvallend daarbij is dat volgens de analyse van Bitdefender er URL’s gebruikt worden die lijken alsof ze van Apple afkomstig zijn. Dit zorgt ervoor dat de malware moeilijker te detecteren is.

Lokaal opgeslagen iPhone-backups

De modules die door Xagent gedownload worden kunnen allerlei acties uitvoeren op het systeem, zo blijkt uit de voorlopige analyse. De malware kan het systeem vragen om hardware- en softwareconfiguraties, een lijst van lopende processen opvragen en zelfs extra bestanden uitvoeren. Ook het maken van screenshots en verzamelen van browserwachtwoorden behoort tot de mogelijkheden. Maar het meest opvallend is volgens het beveiligingsbedrijf het bemachtigen van lokaal opgeslagen iPhone-backups. Hoe dat precies in zijn werk gaat is (nog) niet duidelijk. Bitdefender benadrukt dat het om een voorlopige analyse gaat en zegt binnenkort met uitgebreidere informatie te komen.

Russische hackers
Volgens Bitdefender vertoont de Mac-versie van Xagent gelijkenissen met soortgelijke malware die onder naam ‘Sofacy/APT28/Sednit Xagent’ al voor Windows en Linux in omloop is. Dit blijkt onder meer uit de aanwezigheid van vergelijkbare modules, zoals FileSystem, KeyLogger en RemoteShell. Beide worden gelinkt aan APT28, een Russische hackersgroep die ook wel Fancy Bear wordt genoemd. Deze groep is volgens beveiligingsbedrijf CrowdStrike al sinds 2007 actief en zou nauwe banden hebben met de Russische overheid.

Als gewone gebruiker heb je waarschijnlijk weinig te vrezen van deze nieuwe malware voor de Mac. De malware wordt doorgaans alleen gebruikt voor gerichte aanvallen. Maar de ontdekking zal beveiligingsbedrijven en overheden ongetwijfeld zorgen baren. In aanloop naar de Tweede Kamerverkiezingen in maart wordt al rekening gehouden met beïnvloeding door de Russische overheid. De ontdekking van Bitdefender wijst erop dat deze Russische hackersgroep nu malware heeft voor alle beschikbare platformen.

Afgelopen week schreven we ook al over malware op de Mac. Deze maakte gebruik van een bekende truc, waardoor de malware vermomd was als Flash-update. Deze knullige malware werkte met Word-macro’s.

Revisiegeschiedenis:

  • 2017 - 15 februari: Informatie toegevoegd over verspreiding van de malware.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 15 februari 2017, 11:54
Categorie Mac & macOS
Onderwerpen beveiliging, malware

Reacties zijn gesloten voor dit artikel.