Anche OS X e macOS non sono immuni dagli attacchi di malintenzionati. Nella giornata di ieri, Bitdefender ha confermato l’estensione di Xagent, un noto malware diffuso su Windows, iOS, Android e Linux, anche al sistema operativo desktop targato mela morsicata. Lo sviluppo del codice malevolo sarebbe avvenuto in Russia, spiegano gli esperti, e potrebbe essere connesso a un gruppo di malintenzionati che, lo scorso autunno, sono stati accusati di aver interferito con la campagna elettorale negli Stati Uniti. Il malware, una volta installato sui Mac, potrebbe minacciare la sicurezza dell’utente, ricavando password e altri dati molto sensibili.
La variante di Xagent per Mac è molto simile a quella per altri sistemi operativi: una volta installato, il malware verifica la presenza di un debugger e, in caso non venisse trovato, attenderà la prima connessione alla rete Internet per scaricarlo. A questo punto, sfruttando dei falsi domini solo apparentemente connessi ad Apple, il codice malevolo comincia le sue dannose operazioni: sfruttando alcuni payload, Xagent è infatti in grado di verificare e modificare le impostazioni di sistema, chiudere processi attivi ed eseguire codice.
In particolare, sembra che il malware possa rubare le password inserite nel browser, per inoltrarle a server remoti, nonché salvare silenziosamente screenshot e sottrarre indebitamente dati dal backup di iPhone.
Così come già anticipato, Bitdefender e gli altri esperti di sicurezza ritengono che la variante per Mac di Xagent sia stata sviluppata da un gruppo di malintenzionati provenienti dalla Russia, forse APT28:
Le nostre precedenti analisi di campioni noti per essere connessi al gruppo APT28 mostrano delle similitudini tra il componente Sofacy/APT28/Sednit Xagent per Windows e Linux e il codice binario per macOS attualmente al centro delle nostre indagini.
In attesa che venga rilasciato un tool di pronta rimozione, quello oggi annunciato è il secondo malware apparso per piattaforma Mac nell’ultima settimana. Qualche giorno fa, infatti, MacDownloader ha minacciato il sistema operativo, anche se con una tecnologia d’attacco molto vetusta e facilmente evitabile per gli utenti.