Attenzione! Questo malware XLoader da $49 può rubare dati da macOS

I ricercatori di sicurezza di Check Point Research (CPR) hanno divulgato mercoledì un nuovo ceppo di malware cross-platform che ruba informazioni sensibili dagli utenti di macOS di Apple.

Il malware identificato come “XLoader” è attualmente distribuito sotto forma di malware-as-a-service (MaaS) su un forum del dark web come servizio di caricamento botnet a partire da $49, che può essere utilizzato contro dispositivi Windows e macOS.

Per chi non lo sapesse, XLoader ha origine da una variante basata su Windows chiamata Formbook. Disponibile per $29 a settimana, Formbook è apparso per la prima volta nei forum di hacking nel 2016. Destinato a essere “un semplice keylogger”, Formbook raccoglie credenziali da vari browser web, colleziona screenshot, monitora e registra le battute, ed esegue file dannosi sui computer delle vittime.

Tuttavia, i clienti hanno subito visto il suo potenziale come strumento universale per campagne di spam diffuse che prendono di mira organizzazioni in tutto il mondo. Sebbene questo malware sia scomparso dal mercato nel 2018, è riapparso nel 2020 con un nuovo nome, XLoader.

La funzione di raccolta delle credenziali di XLoader funziona per “quasi cento applicazioni, tra cui browser, messenger, client FTP e email”, scrivono i ricercatori.

Secondo il rapporto di CPR, XLoader, che prende in prestito il codice di base da Formbook, è stato pubblicizzato per la vendita in uno dei gruppi sotterranei il 6 febbraio 2020. Da allora, è cresciuto in popolarità come botnet cross-platform (Windows e macOS) senza dipendenze e include miglioramenti significativi, come la capacità di compromettere i sistemi macOS.

Check Point ha monitorato l’attività di XLoader per un periodo di sei mesi (tra il 1° dicembre 2020 e il 1° giugno 2021), registrando richieste da 69 paesi, scoprendo che oltre la metà (53%) delle vittime infettate dal malware si trova negli Stati Uniti, inclusi utenti Mac e Windows.

Le vittime vengono ingannate nel scaricare XLoader tramite tipici schemi di phishing che utilizzano email contraffatte, contenenti documenti di Microsoft Office caricati di malware. Secondo Apple, circa 200 milioni di utenti utilizzavano macOS nel 2018, il che significa che il malware rappresenta una minaccia potenziale per tutti gli utenti Mac.

“Penso che ci sia una comune convinzione errata tra gli utenti di macOS che le piattaforme Apple siano più sicure rispetto ad altre piattaforme più ampiamente utilizzate. Anche se potrebbe esserci un divario tra malware Windows e macOS, il divario si sta lentamente chiudendo nel tempo. La verità è che il malware macOS sta diventando più grande e più pericoloso”, ha dichiarato Yaniv Balmas, responsabile della ricerca informatica di Check Point Software.

“Le nostre recenti scoperte sono un esempio perfetto e confermano questa crescente tendenza. Con l’aumento della popolarità delle piattaforme macOS, ha senso che i criminali informatici mostrino maggiore interesse in questo dominio, e personalmente mi aspetto di vedere più minacce informatiche seguendo la famiglia di malware Formbook. Ci penserei due volte prima di aprire qualsiasi allegato da email ricevute da mittenti che non conosco.”

CPR raccomanda agli utenti di stare lontani da siti web non protetti, evitare di aprire allegati email sospetti da mittenti sconosciuti e utilizzare software di protezione di terze parti per mantenere il proprio Mac o PC al sicuro dal malware.

“Poiché questo malware è [furtivo] per natura, è probabile che sia difficile per un occhio ‘non tecnico’ riconoscere se sono stati infettati”, hanno opinato gli analisti.

“Pertanto, se sospetti di essere stato infettato, sarebbe saggio consultare un professionista della sicurezza o utilizzare strumenti e protezioni di terze parti progettati per identificare, bloccare e persino rimuovere questa minaccia dal tuo computer.”

La società di cybersecurity raccomanda anche di utilizzare la funzione AutoRun di Windows Explorer (vedi sotto). Nota: questo metodo non è per i principianti.

2. Controlla il tuo nome utente nel sistema operativo.

3. Vai nella directory /Users/[nome_utente]/Library/LaunchAgents.

4. Controlla i nomi dei file sospetti in questa directory (cioè nome dall’aspetto casuale, vedi esempio sotto)

/Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist).

2. Rimuovi il file sospetto.