¡Cuidado! Este malware XLoader de $49 puede robar datos de macOS

Los investigadores de seguridad de Check Point Research (CPR) revelaron el miércoles una nueva cepa de malware multiplataforma que roba información sensible de los usuarios de macOS de Apple.

El malware identificado como “XLoader” se está distribuyendo actualmente en forma de malware como servicio (MaaS) en un foro de la dark web como un servicio de cargador de botnets por tan solo $49, que puede ser desplegado contra dispositivos tanto Windows como macOS.

Para aquellos que no lo sepan, XLoader se originó a partir de una variante basada en Windows llamada Formbook. Disponible por $29 a la semana, Formbook apareció por primera vez en foros de hacking en 2016. Destinado a ser “un simple keylogger”, Formbook recoge credenciales de varios navegadores web, recopila capturas de pantalla, monitorea y registra pulsaciones de teclas, y ejecuta archivos maliciosos en las máquinas de las víctimas.

Sin embargo, los clientes vieron inmediatamente su potencial como una herramienta universal para usar en amplias campañas de spam que apuntan a organizaciones de todo el mundo. Aunque este malware desapareció de la venta en 2018, volvió a aparecer en 2020 bajo un nuevo nombre, XLoader.

La función de recolección de credenciales de XLoader funciona para “casi cien aplicaciones, incluidos navegadores, mensajeros, clientes FTP y de correo electrónico”, escriben los investigadores.

Según el informe de CPR, XLoader, que toma prestada la base de código de Formbook, fue anunciado a la venta en uno de los grupos subterráneos el 6 de febrero de 2020. Desde entonces, ha crecido en popularidad como una botnet multiplataforma (Windows y macOS) sin dependencias e incluye mejoras importantes, como la capacidad de comprometer sistemas macOS.

Check Point rastreó la actividad de XLoader durante un período de seis meses (entre el 1 de diciembre de 2020 y el 1 de junio de 2021), viendo solicitudes de 69 países, para descubrir que más de la mitad (53%) de las víctimas infectadas con el malware están en EE. UU., incluidos usuarios de Mac y Windows.

Las víctimas son engañadas para descargar XLoader a través de esquemas de phishing típicos que utilizan correos electrónicos falsificados, que contienen documentos de Microsoft Office cargados de malware. Según Apple, aproximadamente 200 millones de usuarios estaban operando macOS en 2018, lo que significa que el malware es una amenaza potencial para todos los usuarios de Mac.

“Creo que hay una creencia incorrecta común entre los usuarios de macOS de que las plataformas de Apple son más seguras que otras plataformas más utilizadas. Si bien puede haber una brecha entre el malware de Windows y macOS, la brecha se está cerrando lentamente con el tiempo. La verdad es que el malware de macOS se está volviendo más grande y más peligroso”, dijo Yaniv Balmas, Jefe de investigación cibernética en Check Point Software.

“Nuestros hallazgos recientes son un ejemplo perfecto y confirman esta tendencia creciente. Con la creciente popularidad de las plataformas macOS, tiene sentido que los criminales cibernéticos muestren más interés en este dominio, y personalmente anticipo ver más amenazas cibernéticas siguiendo a la familia de malware Formbook. Pensaría dos veces antes de abrir cualquier archivo adjunto de correos electrónicos que reciba de remitentes que no conozco.”

CPR recomienda a los usuarios que eviten visitar sitios web no protegidos, eviten abrir archivos adjuntos de correo electrónico sospechosos de un remitente desconocido y utilicen software de protección de terceros para mantener su Mac o PC a salvo de malware.

“Dado que este malware es [sigiloso] por naturaleza, es probable que sea difícil para un ojo ‘no técnico’ reconocer si han sido infectados”, opinaron los analistas.

“Por lo tanto, si sospecha que ha sido infectado, sería prudente consultar con un profesional de seguridad o utilizar herramientas y protecciones de terceros diseñadas para identificar, bloquear e incluso eliminar esta amenaza de su computadora.”

La empresa de ciberseguridad también recomienda utilizar la función AutoRun del Explorador de Windows (ver más abajo). Nota: este método no es para los inexpertos.

2. Verifique su nombre de usuario en el SO.

3. Vaya al directorio /Users/[nombre de usuario]/Library/LaunchAgents.

4. Verifique si hay nombres de archivos sospechosos en este directorio (es decir, nombres que parecen aleatorios, vea el ejemplo a continuación)

/Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist).

2. Elimine el archivo sospechoso.