Investigadores en seguridad de Bitdefender han descubierto esta semana un nuevo malware para Mac desarrollado por APT28, un grupo de ciberesiponaje ruso que presuntamente tiene vínculos con el gobierno del país euroasiático.
El malware es una nueva variante del spyware X-Agent, del cual aparecieron antes versiones para el resto de sistemas operativos mayoritarios: Windows, iOS, Android y dispositivos Linux. Sobre sus capacidades, está diseñado para robar contraseñas alojadas en los navegadores web, tomar capturas de pantalla, detectar configuraciones del sistema, ejecutar ficheros y hacerse con copias de seguridad de iPhones almacenadas en una computadora.
El grupo de ciberespionaje ruso APT28 ha utilizado una gran cantidad de nombres, entre los cuales están Fancy Bear, Sofacy, Sednit y Pawn Storm. Como ya hemos comentado, tiene presuntos vínculos con el gobierno de Rusia y está operativo desde 2007. Según Bitdefender, X-Agent para Mac se distribuye a través de un binario y una vez instalado en el sistema hace acto de “presencia en algunos módulos como FileSystem, KeyLogger y Remote Shell, así como un módulo de red similar llamado HttpChanel”. Al igual que en las versiones disponibles para los otros sistemas, este spyware se dedica a actuar como una puerta trasera con capacidades de avanzadas de ciberespionaje que pueden ser modificadas según los objetivos del ataque.
Además, X-Agent está planteado de forma que explote una vulnerabilidad hallada en el software MacKeeper instalado en las computadoras objetivo, empleando para ello un “soltador de malware” llamado Komplex. Una vez instalada, la puerta trasera comprueba la presencia de algún depurador para evitar su ejecución en caso de encontrarlo. Si no puede hacer esto, la puerta trasera espera a una conexión a Internet para comunicarse con su mando y control.
Para la conexión con el mando y control utiliza una serie de URL que suplantan los dominios de Apple además de soltar su carga útil en los módulos. Una vez haya conseguido conectarse con el mando y control con éxito, la carga útil envía un mensaje de saludo, para luego generar dos hilos de comunicación que se ejecutan en bucles infinitos. Uno de los hilos utiliza POST para enviar información al mando y control, mientras que el otro supervisa las peticiones GET para los comandos. Tras todo lo descrito, los investigadores de Bitdefender todavía están investigando cómo se realiza el ataque completo, ya que de momento solo tienen la muestra para Mac.
No es la primera vez que APT28 desarrolla un malware que ataca ordenadores Mac. Por otro lado, es uno de los grupos acusados de haber hackeado los servidores del Comité del Partido Demócrata el año pasado, durante la elección del candidato a la presidencia de Estados Unidos.