网络安全检测与防护技术
国家地方联合工程研究中心深圳分中心

行业资讯 | 新型恶意软件XLoader:只需49美元就可攻击macOS系统

发表时间:2021-07-23 14:56

本文由“网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院”总结归纳


行业资讯看这里:

研究人员近期发现,网络犯罪分子对一款针对Windows系统的著名恶意软件进行了编码修改,并将其改造成了一款新型的信息窃取型恶意软件,即XLoader。值得一提的是,XLoader这个恶意软件变种不仅能够攻击Windows系统,而且还可以针对macOS系统执行信息窃取任务

XLoader目前在一个暗网地下论坛中以“僵尸网络加载服务”的形式提供给网络犯罪分子使用,而XLoader可以从网络浏览器和一些电子邮件客户端(Chrome、Firefox、Opera、Edge、IE、Outlook、Thunderbird、Foxmail)中恢复并窃取密码。

XLoader的前身是针对Windows系统的信息窃取型恶意软件-Formbook,这款恶意软件从去年2月份开始一直活跃至今,它也被认为是一款无依赖的跨平台僵尸网络,并且同时支持Windows系统和macOS系统。

安全社区的一名研究人员在对XLoader进行了逆向工程分析,并且发现它与Formbook具有相同的可执行文件后,确认了这两个恶意软件之间的联系。

地下论坛的XLoader推广人员解释称,Formbook的开发人员为创建XLoader做出了很大贡献,这两个恶意软件具有相似的功能,其中包括窃取登录凭据、捕捉屏幕截图、记录键盘击键信息和执行恶意文件等。

据了解,每一个客户可以以49美元(一个月)的价格租用macOS恶意软件版本,并可以访问卖家提供的服务器。通过维护一个中心化的命令和控制基础设施,攻击者将能够控制客户端使用恶意软件的方式。

而XLoader的Windows版本则更贵,运营商给出的套餐价格为59美元(一个月)和129美元(三个月)。

正如地下论坛广告中所提到的那样,XLoader的制造商还免费提供了一个Java绑定器,允许客户使用Mach-O和EXE二进制文件创建一个独立的JAR文件。

CheckPoint的恶意软件研究人员对XLoader进行了长达六个月的跟踪分析,截止至6月1日,他总共发现了来自69个国家的请求,表明XLoader在全球范围内的传播非常广泛,而且有超过一半的受害者位于美国地区。

虽然Formbook现在已经不在地下论坛打广告了,但它所能带来的威胁仍不容小觑。在过去的三年里,它是至少参与了1000个恶意软件的攻击活动,根据AnyRun提供的恶意软件趋势分析报告,这款信息窃取型恶意软件在过去的12个月内排名第四,影响仅次于Emotet。

如果说Formbook的流行是一个起点的话,那么XLoader可能会更流行,因为它针对的是消费者使用的两种最流行的操作系统。

CheckPoint的研究人员表示,XLoader的隐蔽性足以让普通的非技术用户很难发现它。

研究人员建议广大用户使用macOS的Autorun检查操作系统中的用户名,并查看LaunchAgents目录[/Users/[username]/Library/LaunchAgents],然后删除包含可疑文件名的内容。

macOS的日益普及使它越来越受到网络犯罪分子的关注了,而macOS目前也已经成为了网络犯罪分子眼中极具吸引力的目标之一。

虽然Windows和MacOS恶意软件之间可能存在差距,但随着时间的推移,这种差距正在慢慢缩小。研究人员也认为,将来会有越来越多针对macOS系统的恶意软件诞生,而现有的恶意软件也会逐步将macOS系统添加到自己受支持的操作系统列表中。

参考:bleepingcomputer


本文出处:FreeBuf.COM

本文作者:Alpha_h4ck


本文内容转载于他处,仅代表作者个人观点,本文只提供参考并不构成任何投资及应用建议。(若存在内容、版权或其它问题,请联系我方处理)