Mac-Malware Xagent stiehlt Passwörter und iPhone-Backups

Die unter den Namen Fancy Bear, Sofacy, Sednit, Strontium und APT28 bekannte Hackergruppe, die auch für die Operation Pawn Storm verantwortlich ist, hat offenbar eine neue Malware für Apples Desktopbetriebssystem macOS in Umlauf gebracht. Laut Bitdefender handelt es sich um eine Variante der Windows-Malware Xagent. Das Unternehmen beschreibt sie als eine modulare Backdoor mit fortschrittlichen Cyberspionagefähigkeiten, die mithilfe des Komplex-Downloaders eingeschleust wird.

Gelangt die Backdoor auf ein System, prüft sie, ob ein Debugger aktiv ist und beendet sich anschließend. Andernfalls wartet sie auf eine Internetverbindung, um die Kommunikation mit einem Befehlsserver aufzunehmen, dessen URLs Apple-Domains nachahmen.

Die Spyware-Module von Xagent sind in der Lage, die Hardware- und Softwarekonfiguration eines Macs abzufragen und eine Liste aller laufenden Prozesse zu erstellen. Zudem kann Xagent Screenshots aufzeichnen und Browser-Passwörter ausspähen. Die wichtigste Spionagefunktion erlaubt es den Forschern zufolge jedoch, iPhone-Backups auszulesen, die auf einem kompromittierten Mac gespeichert sind. Bitdefender betont, dass die Analyse der Module noch nicht abgeschlossen ist.

Die Verbindung zu der angeblich aus Russland stammenden Hackergruppe stellte Bitdefender vor allem über Ähnlichkeiten bei den verwendeten Modulen wie FileSystem, KeyLogger, HttpChanel und RemoteShell her. Ihr Code entspreche dem Code der Module von Xagent für Windows und Linux. Weitere Überschneidungen ergäben sich bei Strings im Malware-Code.

Zu demselben Ergebnis kamen auch Forscher von Palo Alto Networks. Sie beschreiben in einem Blogeintrag zudem weitere Befehle, die Xagent ausführen kann. Demnach kann die Backdoor Dateien aus vorgegebenen Pfaden hochladen oder löschen, in festen Intervallen Screenshots aufzeichnen, das Firefox-Passwort auslesen, Dateien per FTP an beliebige Server übermitteln und Dateieigenschaften abfragen.

Palo Alto Networks hat darüber hinaus Hosting-Daten von Xagent für macOS mit denen der Windows-Variante verglichen. „Obwohl uns Telemetriedaten fehlen, waren wir in der Lage, eine lose Verbindung zu der Angriffskampagne herzustellen, die Sofacy gegen den Parteikongress der US-Demokraten ausgeführt hat.“

Allerdings wird Xagent bisher nur für zielgerichtete Angriffe verwendet. Generell ist die Verbreitung von Schadprogrammen für Apples Dekstopbetriebssystem sehr gering. Eine kürzlich in Word-Dokumenten entdeckte Mac-Malware belegt jedoch ein grundsätzliches Interesse von Cyberkriminellen an Apple-Produkten.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.