Un grupo ruso que pirateó el Comité Nacional Demócrata durante las elecciones presidenciales del año pasado ahora tiene como objetivo las Mac, según la firma de seguridad Bitedefender Labs (a través de Macworld). APT28, también conocido como Sofacy, Sednit APT y otros nombres, ha estado desarrollando malware que se dirige a las Mac y brinda a los rusos acceso remoto a esas Mac.
Bitedefender publicó un PDF sobre APT28 que explica lo que se sabe sobre la identidad y las operaciones del grupo para aquellos que tengan curiosidad sobre ellos.
Software malicioso para Mac
El malware que encontró Bitedefender es una variante de Xagent, o X-Agent, un malware previamente conocido en Windows y Linux. Bitedefender rastreó similitudes en el código que vinculaba la variante con APT28 y dijo que se distribuye a través del instalador Komplex, un troyano conocido.
Según la empresa:
Una vez instalado con éxito, la puerta trasera comprueba si hay un depurador adjunto al proceso. Si detecta uno, se termina para evitar la ejecución. De lo contrario, espera una conexión a Internet antes de iniciar la comunicación con los servidores de C&C. Una vez establecida la comunicación, la carga útil inicia los módulos.
Nuestro análisis preliminar muestra que la mayoría de las URL de C&C se hacen pasar por dominios de Apple.
Una vez conectado al C&C, la carga útil envía un HelloMessage y luego genera dos hilos de comunicación que se ejecutan en bucles infinitos. El primero usa solicitudes POST para enviar información al C&C, mientras que el segundo monitorea las solicitudes GET de comandos.
Vigilancia
Una vez instalado, el malware puede obtener una lista de procesos en ejecución y ejecutar archivos adicionales. También puede capturar capturas de pantalla del escritorio y recopilar contraseñas del navegador.
“Pero el módulo más importante, desde una perspectiva de recopilación de inteligencia”, dijo la compañía, “es el que permite a los operadores filtrar las copias de seguridad de iPhone almacenadas en una Mac comprometida”.
Ten cuidado
Todo lo cual significa que hay un poco de malware desagradable por ahí. No instales nada de una fuente que no conozcas.
