木馬程式Xagent攻擊目標從iOS移到macOS，專門竊取密碼與iPhone備份

資安業者Bitdefender周二（2/14）指出，原本鎖定iOS的間諜木馬程式Xagent已把攻擊目標轉至macOS。

Xagent為趨勢科技在2015年時分析網路間諜活動「典當風暴行動」（Operation Pawn Storm）所發現的間諜程式之一，它可被安裝在未被破解的iOS裝置上，並蒐集裝置的文字訊息、通訊錄、照片、位置、程式列表，還可進行錄音。在2016年時，資安業者CrowdStrike則發現有一基於Xagent的變種把矛頭指向Android。

各家資安業者對於Operation Pawn Storm的背後推手有不同的命名，例如趨勢科技與IBM將它稱之為Pawn Storm，FireEye把它名為Fancy Bear，Bitdefender則說它是APT28，現在業者則普遍相信這些名稱指的都是同一個網路間諜集團，主要攻擊各國政府、軍事及安全組織，從德國議會、法國電視台、美國白宮到歐洲的安全暨合作組織，並推斷它與俄國軍事情報機構有關，源自於俄國政府的支持。

這一次Bitdefender則是在APT28的某一次行動中發現Xagent的蹤跡，顯示它現在鎖定的是macOS，企圖竊取該平台上所儲存的密碼、螢幕畫面，以及儲存在Mac上的iPhone備份檔案。

Bitdefender說明，Xagent擁有先進的網路間諜能力，一旦成功進駐macOS，它會先偵測行跡是否會敗露，若是，就會直接終止執行，若否，則會靜待macOS連網以與遠端的命令暨控制（C&C）伺服器展開通訊，而這些C&C伺服器還魚目混珠地使用了類似蘋果的網域名稱。

Xagent自C&C所下載的各種惡意模組則能用來探測系統上的軟體與硬體配置，取得系統執行程序列表並額外執行其他檔案，還能捕捉螢幕畫面及瀏覽器上的密碼，最厲害的模組則能存取系統上所儲存的iPhone備份。