{"id":104013,"date":"2017-02-15T17:08:25","date_gmt":"2017-02-15T16:08:25","guid":{"rendered":"https:\/\/www.ifun.de\/?p=104013"},"modified":"2017-02-15T17:08:25","modified_gmt":"2017-02-15T16:08:25","slug":"xagentosx-backdoor-trojaner-zielt-auf-mac-nutzer","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/xagentosx-backdoor-trojaner-zielt-auf-mac-nutzer-104013\/","title":{"rendered":"XAgentOSX: Backdoor-Trojaner zielt auf Mac-Nutzer"},"content":{"rendered":"

Die Security-Experten der Palo Alto Networks<\/a> machen auf einen neuen Backdoor-Trojaner aufmerksam, der offensichtlich gezielt eingesetzt wird, um Angriffe gegen macOS-Nutzer zu fahren und vorhandene iOS-Backups von den betroffenen Systemen abzugreifen.<\/p>\n

\"Code<\/a><\/p>\n

Nach Angaben des Sicherheitsunternehmen soll die ber\u00fcchtigte Sofacy-Gruppe f\u00fcr den Trojaner mit der Bezeichnung „XAgentOSX“ verantwortlich zeichnen, der eigentlich als Windows-Sch\u00e4dling „XAgent“ ins Netz startet.<\/p>\n

Die MacOS-Variante von XAgent hat die F\u00e4higkeit, Befehle von den Bedrohungsakteuren \u00fcber einen Command-and-Control-Kanal zu empfangen, ist aber auch in der Lage, Tastatureingaben \u00fcber seine Keylogger-Funktionalit\u00e4t zu protokollieren. Dies erlaubt es den Akteuren, Anmeldeinformationen zu stehlen, w\u00e4hrend der Benutzer sie eintippt. Der Keylogger kann auch spezielle Tasten wie Return und Funktionstasten protokollieren und diese melden.<\/p><\/blockquote>\n

Unter der \u00dcberschrift „XAgentOSX: Sofacy\u2019s XAgent macOS Tool<\/a>“ beschreiben die Palo Alto Networks die von dem Trojaner verwendeten HTTP-Anfragen jetzt in ihrem Hausblog und machen unter anderem darauf aufmerksam, dass die Kommunikation mit dem Steuerserver komplett verschl\u00fcsselt abl\u00e4uft.<\/p>\n

Auf der Suche nach iOS-Backups<\/h2>\n

Den Forschern fiel zudem der Befehl \u201eshowBackupIosFolder\u201c auf, der es Angreifern erm\u00f6glicht festzustellen, ob ein kompromittiertes System zum Sichern eines iOS-Ger\u00e4ts, wie iPhone oder iPad, verwendet wurde. XAgentOSX sei dann in der Lage die gefundenen Inhalte mit weiteren Befehlen zu exfiltrieren.<\/p>\n

Die Schlussfolgerung der Forscher von Palo Alto Networks ist, dass die Sofacy-Gruppe ihr Tool-Set ausbaut, um Angriffskampagnen auf mehreren Plattformen durchzuf\u00fchren. Das j\u00fcngst entdeckte, auf Apple-Ger\u00e4te abzielende Tool nutzt eine \u00e4hnliche Netzwerkkommunikationsmethode wie sein Windows-Pendant. Dies deutet darauf hin, dass diese Gruppe weiterhin konsolidierte C2-Dienste verwendet, um kompromittierte Hosts zu kontrollieren. Gleiches zeigte sich bei einer Beobachtung der Sofacy-Tools Komplex und Seduploader. Trotz fehlender Angriffstelemetrie konnten die Forscher eine lose Verbindung zu der Angriffskampagne finden, die Sofacy in den USA gegen das Nationalkomitee der Demokraten durchf\u00fchrte.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"\"Code<\/a>

Die Security-Experten der Palo Alto Networks machen auf einen neuen Backdoor-Trojaner aufmerksam, der offensichtlich gezielt eingesetzt wird, um Angriffe gegen macOS-Nutzer zu fahren und vorhandene iOS-Backups von den betroffenen Systemen abzugreifen. Nach Angaben des Sicherheitsunternehmen soll die ber\u00fcchtigte Sofacy-Gruppe f\u00fcr den Trojaner mit der Bezeichnung „XAgentOSX“ verantwortlich zeichnen, der eigentlich als Windows-Sch\u00e4dling „XAgent“ ins Netz […]<\/p>\n","protected":false},"author":1,"featured_media":104014,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[16],"tags":[3095,88,92,706],"class_list":["post-104013","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-mac","tag-macos","tag-security","tag-sicherheit","tag-trojaner"],"acf":[],"aioseo_notices":[],"subheadline":["Auf der Suche nach iOS-Backups"],"featured_image":["https:\/\/images.ifun.de\/wp-content\/uploads\/2016\/08\/security.jpg"],"rest_api_enabler":{"subheadline":"Auf der Suche nach iOS-Backups","featured_image":"https:\/\/images.ifun.de\/wp-content\/uploads\/2016\/08\/security.jpg"},"_links":{"self":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/104013","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/comments?post=104013"}],"version-history":[{"count":1,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/104013\/revisions"}],"predecessor-version":[{"id":104015,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/104013\/revisions\/104015"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media\/104014"}],"wp:attachment":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media?parent=104013"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/categories?post=104013"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/tags?post=104013"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}