Bitdefender ha rilevato una variante Mac del malware già noto come Xagent, che è stato già diffuso su sistemi Windows e Linux e che proviene dalle attività di sviluppo (e spionaggio) del gruppo russo noto come APT28 (ma anche Sofacy, Sednit o Fancy Bear, i nomi usati sono molti). Xagent in sé non è nuovo e circola da diverso tempo in rete, sinora però non se ne era ancora vista una variante Mac.
Xagent è un malware che può essere installato su Mac grazie all’attività illecita di Komplex, un altro software “ostile” che ha il compito specifico di penetrare nei computer per scaricarvi poi altro software. Komplex, per quello che se ne sa, si è installato in molti Mac durante una “epidemia” alla fine dell’anno scorso sfruttando una vulnerabilità del software MacKeeper.
Una volta scaricato sul Mac-bersaglio, Xagent resta silente sino a quando non rileva un collegamento a Internet, momento in cui attiva due processi di comunicazione con uno dei suoi server di comando remoto (i cosiddetti server C&C, comando e controllo). Un processo attende i comandi del server, che per non rivelarsi simula di essere un server relativo a un dominio Apple, l’altro gli invia informazioni.
Xagent è potenzialmente in grado di rilevare la configurazione hardware e software del Mac in cui è installato, eseguire istantanee dello schermo e scaricare le password memorizzate nei browser. Cosa più importante, invia ai server remoti i backup di iPhone memorizzati sul Mac infettato. Xagent infatti nasce come strumento di spionaggio e l’obiettivo dell’infezione dei Mac non è tanto estrarre informazioni dai computer quanto dagli iPhone che vi sono collegati.