Vorsicht! Diese $49 XLoader-Malware kann Daten von macOS stehlen

Sicherheitsforscher von Check Point Research (CPR) haben am Mittwoch eine neue Variante von plattformübergreifender Malware offengelegt, die sensible Informationen von macOS-Nutzern von Apple stiehlt.

Die als „XLoader“ identifizierte Malware wird derzeit in Form von Malware-as-a-Service (MaaS) im Dark-Web-Forum als Botnet-Loader-Service für nur 49 $ angeboten, der sowohl gegen Windows- als auch macOS-Geräte eingesetzt werden kann.

Für diejenigen, die es nicht wissen, stammt XLoader von einer Windows-basierten Variante namens Formbook. Formbook, das für 29 $ pro Woche erhältlich ist, tauchte erstmals 2016 in Hacking-Foren auf. Als „ein einfacher Keylogger“ gedacht, erntet Formbook Anmeldeinformationen aus verschiedenen Webbrowsern, sammelt Screenshots, überwacht und protokolliert Tastenanschläge und führt bösartige Dateien auf den Maschinen der Opfer aus.

Die Kunden erkannten jedoch sofort sein Potenzial als universelles Werkzeug für breite Spam-Kampagnen, die Organisationen auf der ganzen Welt anvisieren. Obwohl diese Malware 2018 aus dem Verkauf verschwand, tauchte sie 2020 unter einem neuen Namen XLoader wieder auf.

Die Funktion zur Ernte von Anmeldeinformationen von XLoader funktioniert für „fast einhundert Anwendungen, einschließlich Browser, Messenger, FTP- und E-Mail-Clients“, schreiben die Forscher.

Laut dem CPR-Bericht wurde XLoader, das sich den Code von Formbook leiht, am 6. Februar 2020 in einer der Untergrundgruppen zum Verkauf angeboten. Seitdem hat es an Beliebtheit als plattformübergreifendes (Windows und macOS) Botnet ohne Abhängigkeiten gewonnen und umfasst wesentliche Verbesserungen, wie die Fähigkeit, macOS-Systeme zu kompromittieren.

Check Point verfolgte die Aktivität von XLoader über einen Zeitraum von sechs Monaten (zwischen dem 1. Dezember 2020 und dem 1. Juni 2021) und sah Anfragen aus 69 Ländern, um herauszufinden, dass über die Hälfte (53 %) der mit der Malware infizierten Opfer in den USA sind, einschließlich sowohl Mac- als auch Windows-Nutzern.

Die Opfer werden durch typische Phishing-Schemata, die gefälschte E-Mails verwenden, in die Irre geführt, die mit Malware beladene Microsoft Office-Dokumente enthalten. Laut Apple betrieben 2018 etwa 200 Millionen Nutzer macOS, was bedeutet, dass die Malware eine potenzielle Bedrohung für alle Mac-Nutzer darstellt.

„Ich denke, es gibt einen weit verbreiteten falschen Glauben bei macOS-Nutzern, dass Apple-Plattformen sicherer sind als andere weit verbreitete Plattformen. Während es möglicherweise eine Lücke zwischen Windows- und MacOS-Malware gibt, schließt sich diese Lücke im Laufe der Zeit langsam. Die Wahrheit ist, dass MacOS-Malware größer und gefährlicher wird“, sagte Yaniv Balmas, Leiter der Cyberforschung bei Check Point Software.

„Unsere aktuellen Erkenntnisse sind ein perfektes Beispiel und bestätigen diesen wachsenden Trend. Mit der zunehmenden Beliebtheit von MacOS-Plattformen ist es sinnvoll, dass Cyberkriminelle mehr Interesse an diesem Bereich zeigen, und ich persönlich erwarte, dass wir mehr Cyberbedrohungen sehen werden, die der Formbook-Malware-Familie folgen. Ich würde zweimal nachdenken, bevor ich Anhänge aus E-Mails öffne, die ich von Absendern erhalte, die ich nicht kenne.“

CPR empfiehlt den Nutzern, ungeschützte Websites zu meiden, verdächtige E-Mail-Anhänge von unbekannten Absendern nicht zu öffnen und Drittanbieter-Schutzsoftware zu verwenden, um ihren Mac oder PC vor Malware zu schützen.

„Da diese Malware von Natur aus [heimlich] ist, ist es wahrscheinlich schwierig für ein ‚nicht-technisches‘ Auge zu erkennen, ob sie infiziert wurden“, äußerten die Analysten.

„Daher wäre es klug, einen Sicherheitsfachmann zu konsultieren oder Drittanbieter-Tools und -Schutzmaßnahmen zu verwenden, die entwickelt wurden, um diese Bedrohung zu identifizieren, zu blockieren und sogar von Ihrem Computer zu entfernen, wenn Sie vermuten, dass Sie infiziert wurden.“

Das Cybersicherheitsunternehmen empfiehlt auch die Verwendung der AutoRun-Funktion des Windows-Explorers (siehe unten). Hinweis: Diese Methode ist nicht für Unerfahrene.

2. Überprüfen Sie Ihren Benutzernamen im Betriebssystem.

3. Gehen Sie zum Verzeichnis /Users/[Benutzername]/Library/LaunchAgents.

4. Überprüfen Sie auf verdächtige Dateinamen in diesem Verzeichnis (d.h. zufällig aussehender Name, siehe Beispiel unten)

/Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist).

2. Entfernen Sie die verdächtige Datei.