Cuidado! Este malware XLoader de $49 pode roubar dados do macOS

Pesquisadores de segurança da Check Point Research (CPR) divulgaram na quarta-feira uma nova cepa de malware multiplataforma que rouba informações sensíveis dos usuários do macOS da Apple.

O malware identificado como “XLoader” está atualmente sendo distribuído na forma de malware como serviço (MaaS) em um fórum da dark web como um serviço de carregador de botnet por apenas $49, que pode ser implantado contra dispositivos Windows e macOS.

Para quem não sabe, o XLoader se originou de uma variante baseada em Windows chamada Formbook. Disponível por $29 por semana, o Formbook apareceu pela primeira vez em fóruns de hacking em 2016. Destinado a ser “um simples keylogger”, o Formbook coleta credenciais de vários navegadores da web, captura capturas de tela, monitora e registra pressionamentos de teclas e executa arquivos maliciosos nas máquinas das vítimas.

No entanto, os clientes imediatamente perceberam seu potencial como uma ferramenta universal para uso em amplas campanhas de spam que visam organizações em todo o mundo. Embora esse malware tenha desaparecido do mercado em 2018, ele reapareceu novamente em 2020 sob um novo nome, XLoader.

O recurso de coleta de credenciais do XLoader funciona para “quase cem aplicativos, incluindo navegadores, mensageiros, clientes FTP e de e-mail”, escrevem os pesquisadores.

De acordo com o relatório da CPR, o XLoader, que empresta a base de código do Formbook, foi anunciado para venda em um dos grupos subterrâneos em 6 de fevereiro de 2020. Desde então, ele cresceu em popularidade como uma botnet multiplataforma (Windows e macOS) sem dependências e inclui melhorias significativas, como a capacidade de comprometer sistemas macOS.

A Check Point rastreou a atividade do XLoader por um período de seis meses (entre 1º de dezembro de 2020 e 1º de junho de 2021), vendo solicitações de 69 países, para descobrir que mais da metade (53%) das vítimas infectadas com o malware estão nos EUA, incluindo usuários de Mac e Windows.

As vítimas são enganadas para baixar o XLoader por meio de esquemas típicos de phishing que usam e-mails falsificados, que contêm documentos do Microsoft Office carregados com malware. De acordo com a Apple, aproximadamente 200 milhões de usuários estavam operando macOS em 2018, o que significa que o malware é uma ameaça potencial para todos os usuários de Mac.

“Eu acho que há uma crença comum incorreta entre os usuários do macOS de que as plataformas da Apple são mais seguras do que outras plataformas mais amplamente utilizadas. Embora possa haver uma diferença entre malware do Windows e do macOS, essa diferença está lentamente se fechando ao longo do tempo. A verdade é que o malware do macOS está se tornando maior e mais perigoso”, disse Yaniv Balmas, chefe de pesquisa cibernética da Check Point Software.

“Nossas descobertas recentes são um exemplo perfeito e confirmam essa tendência crescente. Com a popularidade crescente das plataformas macOS, faz sentido que os criminosos cibernéticos mostrem mais interesse nesse domínio, e eu pessoalmente antecipo ver mais ameaças cibernéticas seguindo a família de malware Formbook. Eu pensaria duas vezes antes de abrir quaisquer anexos de e-mails que recebo de remetentes que não conheço.”

A CPR recomenda que os usuários evitem visitar sites desprotegidos, evitem abrir anexos de e-mail suspeitos de remetentes desconhecidos e usem software de proteção de terceiros para manter seu Mac ou PC seguro contra malware.

“Como esse malware é [furtivo] por natureza, é provável que seja difícil para um olho ‘não técnico’ reconhecer se foi infectado”, opinaram os analistas.

“Portanto, se você suspeitar que foi infectado, seria sábio consultar um profissional de segurança ou usar ferramentas e proteções de terceiros projetadas para identificar, bloquear e até remover essa ameaça do seu computador.”

A empresa de cibersegurança também recomenda usar o recurso AutoRun do Windows Explorer (veja abaixo). Nota: esse método não é para os inexperientes.

2. Verifique seu nome de usuário no SO.

3. Vá para o diretório /Users/[username]/Library/LaunchAgents.

4. Verifique se há nomes de arquivos suspeitos neste diretório (ou seja, nome com aparência aleatória, veja o exemplo abaixo)

/Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist).

2. *Remova o arquivo suspeito.