Осторожно! Этот вредоносный XLoader за $49 может украсть данные с macOS

Исследователи безопасности из Check Point Research (CPR) в среду раскрыли новую разновидность кроссплатформенного вредоносного ПО, которое крадет конфиденциальную информацию у пользователей macOS от Apple.

Вредоносное ПО, идентифицированное как “XLoader”, в настоящее время распространяется в форме вредоносного ПО как услуги (MaaS) на темном веб-форуме в качестве службы загрузчика ботнета всего за $49, которое можно развернуть как на устройствах Windows, так и на macOS.

Для тех, кто не в курсе, XLoader возник из варианта на базе Windows под названием Formbook. Доступный за $29 в неделю, Formbook впервые появился на хакерских форумах в 2016 году. Предназначенный быть “простым кейлоггером”, Formbook собирает учетные данные из различных веб-браузеров, собирает скриншоты, отслеживает и записывает нажатия клавиш и выполняет вредоносные файлы на машинах жертв.

Тем не менее, клиенты сразу увидели его потенциал как универсального инструмента для использования в широких спам-кампаниях, нацеленных на организации по всему миру. Хотя это вредоносное ПО исчезло из продажи в 2018 году, оно снова появилось в 2020 году под новым именем XLoader.

Функция сбора учетных данных XLoader работает для “почти ста приложений, включая браузеры, мессенджеры, FTP и почтовые клиенты”, пишут исследователи.

Согласно отчету CPR, XLoader, который заимствует кодовую базу у Formbook, рекламировался на продажу в одной из подпольных групп 6 февраля 2020 года. С тех пор он стал популярным как кроссплатформенный (Windows и macOS) ботнет без зависимостей и включает в себя значительные улучшения, такие как возможность компрометации систем macOS.

Check Point отслеживал активность XLoader в течение шести месяцев (с 1 декабря 2020 года по 1 июня 2021 года), увидев запросы из 69 стран, чтобы обнаружить, что более половины (53%) жертв, зараженных вредоносным ПО, находятся в США, включая пользователей Mac и Windows.

Жертвы обманываются, чтобы скачать XLoader через типичные фишинговые схемы, использующие поддельные электронные письма, которые содержат документы Microsoft Office с вредоносным ПО. Согласно Apple, примерно 200 миллионов пользователей работали на macOS в 2018 году, что означает, что вредоносное ПО представляет потенциальную угрозу для всех пользователей Mac.

“Я думаю, что существует общее неверное мнение среди пользователей macOS, что платформы Apple более безопасны, чем другие более широко используемые платформы. Хотя может быть разрыв между вредоносным ПО для Windows и MacOS, этот разрыв медленно сокращается со временем. Правда в том, что вредоносное ПО для MacOS становится все более крупным и опасным,” сказал Янив Балмас, руководитель киберисследований в Check Point Software.

“Наши недавние находки являются отличным примером и подтверждают эту растущую тенденцию. С увеличением популярности платформ MacOS имеет смысл, что киберпреступники проявляют больший интерес к этой области, и я лично ожидаю увидеть больше киберугроз, следующих за семейством вредоносного ПО Formbook. Я бы дважды подумал, прежде чем открывать любые вложения из электронных писем от незнакомых отправителей.”

CPR рекомендует пользователям избегать посещения незащищенных веб-сайтов, избегать открытия подозрительных вложений из электронных писем от незнакомых отправителей и использовать стороннее защитное программное обеспечение, чтобы защитить свой Mac или ПК от вредоносного ПО.

“Поскольку это вредоносное ПО по своей природе [незаметно], вероятно, трудно для ‘нетехнического’ глаза распознать, были ли они заражены,” высказались аналитики.

“Поэтому, если вы подозреваете, что вы были заражены, будет разумно проконсультироваться с профессионалом по безопасности или использовать сторонние инструменты и защиты, предназначенные для выявления, блокировки и даже удаления этой угрозы с вашего компьютера.”

Кибербезопасная компания также рекомендует использовать функцию AutoRun в Проводнике Windows (см. ниже). Примечание: этот метод не предназначен для неопытных.

2. Проверьте ваше имя пользователя в ОС.

3. Перейдите в директорию /Users/[username]/Library/LaunchAgents.

4. Проверьте наличие подозрительных имен файлов в этой директории (т.е. случайно выглядящее имя, см. пример ниже)

/Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist).

2. Удалите подозрительный файл.