Auf der Suche nach iOS-Backups
XAgentOSX: Backdoor-Trojaner zielt auf Mac-Nutzer
Die Security-Experten der Palo Alto Networks machen auf einen neuen Backdoor-Trojaner aufmerksam, der offensichtlich gezielt eingesetzt wird, um Angriffe gegen macOS-Nutzer zu fahren und vorhandene iOS-Backups von den betroffenen Systemen abzugreifen.
Nach Angaben des Sicherheitsunternehmen soll die berüchtigte Sofacy-Gruppe für den Trojaner mit der Bezeichnung „XAgentOSX“ verantwortlich zeichnen, der eigentlich als Windows-Schädling „XAgent“ ins Netz startet.
Die MacOS-Variante von XAgent hat die Fähigkeit, Befehle von den Bedrohungsakteuren über einen Command-and-Control-Kanal zu empfangen, ist aber auch in der Lage, Tastatureingaben über seine Keylogger-Funktionalität zu protokollieren. Dies erlaubt es den Akteuren, Anmeldeinformationen zu stehlen, während der Benutzer sie eintippt. Der Keylogger kann auch spezielle Tasten wie Return und Funktionstasten protokollieren und diese melden.
Unter der Überschrift „XAgentOSX: Sofacy’s XAgent macOS Tool“ beschreiben die Palo Alto Networks die von dem Trojaner verwendeten HTTP-Anfragen jetzt in ihrem Hausblog und machen unter anderem darauf aufmerksam, dass die Kommunikation mit dem Steuerserver komplett verschlüsselt abläuft.
Auf der Suche nach iOS-Backups
Den Forschern fiel zudem der Befehl „showBackupIosFolder“ auf, der es Angreifern ermöglicht festzustellen, ob ein kompromittiertes System zum Sichern eines iOS-Geräts, wie iPhone oder iPad, verwendet wurde. XAgentOSX sei dann in der Lage die gefundenen Inhalte mit weiteren Befehlen zu exfiltrieren.
Die Schlussfolgerung der Forscher von Palo Alto Networks ist, dass die Sofacy-Gruppe ihr Tool-Set ausbaut, um Angriffskampagnen auf mehreren Plattformen durchzuführen. Das jüngst entdeckte, auf Apple-Geräte abzielende Tool nutzt eine ähnliche Netzwerkkommunikationsmethode wie sein Windows-Pendant. Dies deutet darauf hin, dass diese Gruppe weiterhin konsolidierte C2-Dienste verwendet, um kompromittierte Hosts zu kontrollieren. Gleiches zeigte sich bei einer Beobachtung der Sofacy-Tools Komplex und Seduploader. Trotz fehlender Angriffstelemetrie konnten die Forscher eine lose Verbindung zu der Angriffskampagne finden, die Sofacy in den USA gegen das Nationalkomitee der Demokraten durchführte.
Wie schützt man sich davor?
Danke
Auf welchem Weg kommt das denn au den Mac und wie kann ich dem vorbeugen?
Tja das wäre wirklich mal die Info die jeder braucht. Gute Frage!
Malware-Verbreitungen erfolgen zumeist über
– klassische Emails mit schädlichen Dateianhängen
– klassische Emails mit Links auf Webseiten von denen die Schadsoftware heruntergeladen wird
– Werbeanzeigen, die ihrerseits Schadsoftware von Webseiten herunterladen
– Software-Downloads aus nicht vertrauenswürdiger Quelle (gehackte Software)
Um den Bedrohungen vorzubeugen solltet ihr technisch…
1. immer die aktuellen Updates von macOS einspielen
2. Anwendungen entweder aus dem Mac AppStore installieren (hier gibt es zumindest eine Nachvollziehbarkeit des Entwicklers) oder die Quelle gut auf ihre Vertrauenswürdigkeit prüfen (ja das ist schwer, aber notwendig), im Zweifel auch mal lieber auf eine Anwendung verzichten)
3. einen Werbeblocker in Eurem Browser einsetzen (bei Safari eignet sich Ghostery, aber ihr sollte nicht an Ghosttank teilnehmen, da dann Eure gesamte Surfhistorie zu Ghostery übertragen und weiter verwendet wird!)
4. KEINEN Malwareschutz installieren. macOS besitzt schon einen eigenen Malwareschutz für bekannte macOS Schadsoftware und Malwareschutzprogramme haben selbst sehr häufig Schwachstellen die das System unsichere machen als es vor der Installation war.
Ansonsten vor allem noch „bedacht“ mit dem Computer umgehen:
– Berechtigungsanfragen des Betriebssystem nur bestätigen, wenn Euch bewusst ist warum diese gerade auftaucht und vermutlich für die von Euch gewünschte Funktion notwendig ist.
– in Emails überlegen ob Dateianhänge / Links vertrauenswürdig sind (habe ich einen Bezug zum Absender, erwarte ich einen Link / einen Dateianhang, passt Absender zum Inhalt der Mail, entsprechen EMail-Adresse und Linkziele beim „Mous-Over“ dem Email-Inhalt?) im Zweifelsfalle den Absender anrufen und nachfragen oder einfach die Mail wegschmeißen.
Mit diesen Basismaßnahmen solltet ihr vor einer Infektion recht gut geschützt sein.
Kann ich nur unterschreiben!
So ist es!
In einem anderen Artikel habe ch gelesen, dass er vermutlich eine Schwachstelle ausnutzt, die durch die Installation von MacKeeper entsteht. Weist doch bitte (auch unabhängig davon) nochmal darauf hin, dass MacKeeper der größte Mac Virus überhaupt ist
So ist es
Was tun? Gibts denn eine Methode, ihn zu vermeiden? Oder besser? Wie infiziere ich meinen Mac?
Die Programme von apt28 sind alle darauf ausgelegt, das unbedachte User ihrem Betriebssystem vertrauen. Sprich: Aufforderungen zum installieren werden blind befolgt. Auch im US Wahlkampf waren sie so programmiert, das die Menschen die täglich eine Aufforderung vom Betriebssystem erhielten und befolgen, nicht erkennen konnten das dieses Programm nicht vertrauenswürdig ist. Ergo: bevor etwas installiert wird, macht euch die Mühe und recherchiert kurz. Meist ist es nur eine Sache von 5 Minuten. Privatleute haben bestimmt die Zeit. Die Demokraten hatten sie anscheinend nicht. Good luck
Jetzt schon….
Gibt es Lösungen?
Außer recherchieren zur Zeit leider nicht. AV SW schaffen es leider auch nicht da die Hacker immer einen Schritt voraus sind. Es gibt einen Artikel von einem Firefox Programmierer der sogar behauptet AV Software wäre überflüssig, ja sogar gefährlicher (stellenweise) als sein Betriebssystem ohne zu betreiben. Zunächst fand ich diese Aussage bedenkenswert. Doch nach ausführlicher Durchsicht und Recherche doch verdammt schlüssig. Um den Text kurz zusammen zu fassen: jedes Betriebssystem hat genügend bordmittel dabei um Hacks zu vermeiden. So lange man es so nutzt wie es sein sollte. Software nur vertrauen die verifiziert ist und nicht alles blindlings zu installieren. Hab leider den link nicht mehr, aber war noch letzte Woche bei ntv zu lesen.
Ich schätze, den meintest Du:
http://www.n-tv.de/technik/Ant.....79137.html
Habe gestern 3 x versucht diesen Link zu posten. Vergebens! Warum wurde das geblockt?
AV war, ist und bleibt Schlangenöl! Im Gegenteil es gibt genug Hinweise darauf das AV Software neue Türen für Schädlinge öffnet. Ausserdem wiegt sich der User in trügerischer Sicherheit und ist eher unvorsichtig da der AV-Scanner in seiner Vorstellung potentielle Schädlinge ja schon finden wird (was er nicht macht).
Wuerde hierbei die Kommunikation mit dem Server der Hacker durch Programme wie little snitch geblockt?
Mit großer Wahrscheinlichkeit ja. Ich persönlich setze voll auf LS um mich bzw. meinen Mac abzusichern.
Wer das Terminal bedienen kann sollte mit dem Befehl nettop mal seine Connections auf die C&C URLs des Trojaner prüfen.