RATA XAgentOSX

XAgentOSX RAT es un troyano de acceso remoto empleado por el grupo de hackers Sofacy. Sofacy ya estaba atacando a los usuarios de Mac con un troyano de puerta trasera llamado Komplex, pero los investigadores de Palo Alto Networks han descubierto que los piratas informáticos podrían usar Komplex para entregar XAgentOSX RAT en los sistemas comprometidos debido a la funcionalidad ampliada de esta última amenaza.

Tras una infiltración exitosa, XAgentOSX RAT inicia la comunicación con su infraestructura de Comando y Control (C2) utilizando solicitudes HTTP POST para enviar datos y solicitudes GET para recibir comandos.

Para identificar a la víctima específica, el malware genera un valor específico que denomina 'agent_id'. El valor representa los primeros cuatro dígitos adquiridos a través de IOPlatformUUID al que se accede mediante IOService. Al analizar el código de XAgentOSX RAT, los investigadores de ciberseguridad encontraron un error cometido por el hack, cuando el malware crea una matriz con cadenas para las posibles ubicaciones de sus servidores C2 en:

http://23.227.196.215/
http://apple-iclods.org/
http://apple-checker.org/
http://apple-uptoday.org/
http://apple-search.info

Como habrás notado, a la última cadena le falta el símbolo '/' al final, lo que crea problemas cuando el malware intenta usarla.

El XAgentOSX RAT tiene un conjunto desagradable de funciones

Cuando se envía el comando apropiado a XAgentOSX RAT, puede iniciar cualquiera de las múltiples funciones invasivas del malware. Los piratas informáticos pueden usar el troyano para recopilar información del sistema y credenciales de inicio de sesión, enumerar todos los procesos en ejecución y todas las aplicaciones instaladas y manipular archivos: leer, ejecutar, descargar, cargar y eliminar archivos. El XAgentOSX RAT explota los métodos CGGetActiveDisplayList, CGDisplayCreateImage, NSImage: initWithCGImage para tomar capturas de pantalla que luego carga en sus servidores C2. El malware está equipado con la capacidad de recopilar datos de Firefox buscando 'nombre de host', 'nombre de usuario cifrado' y 'contraseña cifrada' en el archivo 'logins.json'.

Una adición interesante a las capacidades de esta RAT es el comando para verificar si el dispositivo comprometido se ha utilizado para hacer una copia de seguridad de un iPhone o iPad. No hay duda de que los ciberdelincuentes intentarían exfiltrar estos archivos.

Y si eso no fuera suficiente, el XAgentOSX RAT también puede actuar como un keylogger. El malware almacena las pulsaciones de teclas capturadas y, al alcanzar una cantidad predeterminada, las envía a sus servidores C2 mediante [pulsaciones de teclas registradas] .