セキュリティ · 1 min read · Oct 09, 2025

警告!この$49のXLoaderマルウェアはmacOSからデータを盗むことができます

Check Point Research (CPR)のセキュリティ研究者は水曜日、AppleのmacOSユーザーから機密情報を盗む新しいクロスプラットフォームマルウェアの新種を発表しました。

「XLoader」として特定されたこのマルウェアは、現在、ダークウェブフォーラムでボットネットローダーサービスとして$49という低価格でマルウェア・アズ・ア・サービス(MaaS)として配布されています。これはWindowsとmacOSデバイスの両方に対して展開可能です。

知らない方のために、XLoaderはFormbookと呼ばれるWindowsベースのバリアントから派生しています。Formbookは週$29で利用可能で、2016年にハッキングフォーラムに初めて登場しました。「シンプルなキーロガー」として意図されており、Formbookはさまざまなウェブブラウザから認証情報を収集し、スクリーンショットを取得し、キーストロークを監視・記録し、被害者のマシンで悪意のあるファイルを実行します。

しかし、顧客はすぐに、世界中の組織をターゲットにした広範なスパムキャンペーンで使用するためのユニバーサルツールとしての可能性を見ました。このマルウェアは2018年に販売から姿を消しましたが、2020年に新しい名前XLoaderの下で再登場しました。

XLoaderの認証情報収集機能は、「ブラウザ、メッセンジャー、FTPおよびメールクライアントを含むほぼ100のアプリケーション」に対応しています、と研究者は書いています。

CPRの報告によると、Formbookのコードベースを借用したXLoaderは、2020年2月6日に地下グループの1つで販売されると宣伝されました。それ以来、依存関係のないクロスプラットフォーム(WindowsとmacOS)ボットネットとして人気が高まり、macOSシステムを侵害する能力などの主要な改善が含まれています。

Check Pointは、XLoaderの活動を6か月間(2020年12月1日から2021年6月1日まで)追跡し、69か国からのリクエストを確認し、マルウェアに感染した被害者の半数以上(53%)が米国にいることを発見しました。これにはMacユーザーとWindowsユーザーの両方が含まれます。

被害者は、マルウェアが埋め込まれたMicrosoft Officeドキュメントを含む偽のメールを使用した典型的なフィッシングスキームを通じてXLoaderをダウンロードするように騙されます。Appleによると、2018年には約2億人のユーザーがmacOSを使用していたため、このマルウェアはすべてのMacユーザーにとって潜在的な脅威です。

「macOSユーザーには、Appleプラットフォームが他の広く使用されているプラットフォームよりも安全であるという一般的な誤解があると思います。WindowsとMacOSのマルウェアの間にはギャップがあるかもしれませんが、そのギャップは時間とともに徐々に縮まっています。真実は、MacOSマルウェアがより大きく、より危険になっているということです」と、Check Point Softwareのサイバー研究責任者であるYaniv Balmasは述べています。

「私たちの最近の発見は、この成長する傾向の完璧な例であり、これを確認しています。MacOSプラットフォームの人気が高まるにつれて、サイバー犯罪者がこの領域により多くの関心を示すのは理にかなっています。そして、私は個人的にFormbookマルウェアファミリーに続くサイバー脅威をもっと見ることを予想しています。知らない送信者からのメールの添付ファイルを開く前に、二度考えるべきだと思います。」

CPRは、ユーザーが保護されていないウェブサイトを訪問するのを避け、知らない送信者からの疑わしいメールの添付ファイルを開かないようにし、マルウェアからMacまたはPCを安全に保つためにサードパーティの保護ソフトウェアを使用することを推奨しています。

「このマルウェアは[隠密]の性質を持っているため、‘非技術的’な目には感染しているかどうかを認識するのが難しい可能性があります」とアナリストは意見を述べました。

「したがって、感染している疑いがある場合は、セキュリティ専門家に相談するか、この脅威をコンピュータから特定、ブロック、さらには削除するために設計されたサードパーティのツールと保護を使用することが賢明です。」

サイバーセキュリティ会社はまた、Windows ExplorerのAutoRun機能を使用することを推奨しています(以下を参照)。注意:この方法は未経験者向けではありません。

  1. OSでのユーザー名を確認します。

    • /Users/[username]/Library/LaunchAgents ディレクトリに移動します。*

  3. このディレクトリ内の疑わしいファイル名を確認します(例:ランダムに見える名前、以下の例を参照)

/Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist).

  1. *疑わしいファイルを削除します。
Share: X/Twitter LinkedIn
#セキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。