Attention ! Ce malware XLoader à 49 $ peut voler des données sur macOS

Les chercheurs en sécurité de Check Point Research (CPR) ont annoncé mercredi une nouvelle souche de malware multiplateforme qui vole des informations sensibles aux utilisateurs de macOS d’Apple.

Le malware identifié comme “XLoader” est actuellement distribué sous la forme de malware-as-a-service (MaaS) sur un forum du dark web en tant que service de chargeur de botnet pour aussi peu que 49 $, pouvant être déployé contre des appareils Windows et macOS.

Pour ceux qui ne le savent pas, XLoader provient d’une variante basée sur Windows appelée Formbook. Disponible pour 29 $ par semaine, Formbook est apparu pour la première fois sur des forums de hacking en 2016. Destiné à être “un simple keylogger”, Formbook récolte des identifiants à partir de divers navigateurs web, collecte des captures d’écran, surveille et enregistre les frappes au clavier, et exécute des fichiers malveillants sur les machines des victimes.

Cependant, les clients ont immédiatement vu son potentiel en tant qu’outil universel pour des campagnes de spam larges ciblant des organisations du monde entier. Bien que ce malware ait disparu de la vente en 2018, il est réapparu en 2020 sous un nouveau nom, XLoader.

La fonctionnalité de collecte d’identifiants de XLoader fonctionne pour “presque une centaine d’applications, y compris des navigateurs, des messageries, des clients FTP et de messagerie”, écrivent les chercheurs.

Selon le rapport de CPR, XLoader, qui emprunte la base de code de Formbook, a été annoncé à la vente dans l’un des groupes souterrains le 6 février 2020. Depuis, il a gagné en popularité en tant que botnet multiplateforme (Windows et macOS) sans dépendances et comprend des améliorations majeures, telles que la capacité de compromettre les systèmes macOS.

Check Point a suivi l’activité de XLoader pendant une période de six mois (entre le 1er décembre 2020 et le 1er juin 2021), voyant des demandes provenant de 69 pays, pour découvrir que plus de la moitié (53 %) des victimes infectées par le malware se trouvent aux États-Unis, y compris des utilisateurs de Mac et de Windows.

Les victimes sont trompées en téléchargeant XLoader via des schémas de phishing typiques utilisant des e-mails falsifiés, contenant des documents Microsoft Office chargés de malware. Selon Apple, environ 200 millions d’utilisateurs utilisaient macOS en 2018, ce qui signifie que le malware représente une menace potentielle pour tous les utilisateurs de Mac.

“Je pense qu’il existe une croyance incorrecte commune chez les utilisateurs de macOS selon laquelle les plateformes Apple sont plus sécurisées que d’autres plateformes plus largement utilisées. Bien qu’il puisse y avoir un écart entre les malwares Windows et macOS, cet écart se réduit lentement avec le temps. La vérité est que le malware macOS devient plus important et plus dangereux,” a déclaré Yaniv Balmas, responsable de la recherche sur la cybersécurité chez Check Point Software.

“Nos découvertes récentes sont un exemple parfait et confirment cette tendance croissante. Avec la popularité croissante des plateformes macOS, il est logique que les cybercriminels montrent plus d’intérêt pour ce domaine, et je prévois personnellement de voir plus de menaces cybernétiques suivant la famille de malwares Formbook. Je réfléchirais à deux fois avant d’ouvrir des pièces jointes d’e-mails que je reçois d’expéditeurs que je ne connais pas.”

CPR recommande aux utilisateurs de s’abstenir de visiter des sites web non protégés, d’éviter d’ouvrir des pièces jointes d’e-mails suspects d’un expéditeur inconnu, et d’utiliser des logiciels de protection tiers pour garder leur Mac ou PC en sécurité contre les malwares.

“Puisque ce malware est [furtif] par nature, il est probablement difficile pour un œil ‘non technique’ de reconnaître s’ils ont été infectés,” ont opiné les analystes.

“Par conséquent, si vous soupçonnez que vous avez été infecté, il serait sage de consulter un professionnel de la sécurité ou d’utiliser des outils et protections tiers conçus pour identifier, bloquer et même supprimer cette menace de votre ordinateur.”

La société de cybersécurité recommande également d’utiliser la fonctionnalité AutoRun de l’Explorateur Windows (voir ci-dessous). Remarque : cette méthode n’est pas pour les inexpérimentés.

2. Vérifiez votre nom d’utilisateur dans le système d’exploitation.

3. Allez dans le répertoire /Users/[nom_utilisateur]/Library/LaunchAgents.

4. Vérifiez les noms de fichiers suspects dans ce répertoire (c’est-à-dire un nom au hasard, voir l’exemple ci-dessous)

/Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist).

2. Supprimez le fichier suspect.