Вариант вредоносного ПО XLoader нацелен на MacOS, замаскированный под приложение OfficeNote
techrepublic

Вариант вредоносного ПО XLoader нацелен на MacOS, замаскированный под приложение OfficeNote

26 августа 2023 г.
Новый вариант вредоносного ПО под названием XLoader нацелен на пользователей macOS. Подробно описано выполнение, функциональные возможности и распространение XLoader.

Новый отчет компании SentinelOne, занимающейся кибербезопасностью, показывает, как развивалось вредоносное ПО XLoader. Это вредоносное ПО для кражи информации нацелено на macOS с 2015 года, но недавно оно было обновлено. Теперь оно выдает себя за приложение Office, поэтому может заражать компьютеры пользователей и красть информацию из их буфера обмена и браузеров.

Перейти к:

    Что такое XLoader и как он обновляется? Исполнение и функциональные возможности XLoader Как распространяется XLoader? Как защитить свой бизнес от этой угрозы вредоносного ПО XLoader

Что такое XLoader и как он обновляется?

XLoader — это вредоносное ПО как услуга, похищающее информацию и кейлоггер, о котором впервые сообщила SentinelOne в 2021 году. Однако вредоносное ПО было разработано на основе исходного кода Formbook, вредоносного ПО и кейлоггера, похищающего информацию, которое было активно в период с 2015 по 2021 год. Хотя Formbook нацелен только на операционные системы Microsoft Windows, XLoader начал ориентироваться на Windows и macOS.

Первым версиям XLoader для успешного выполнения требовалась среда выполнения Java. С тех пор как Apple прекратила поставку JRE для macOS несколько лет назад, она стала менее эффективной, чем другие вредоносные программы, хотя многим пользователям macOS все еще нужна JRE для различных целей, и они установили ее в свои системы.

Исследователи SentinelOne Динеш Девадосс и Фил Стоукс сообщают, что XLoader вернулся в новой форме и без этих Java-зависимостей. Новый код написан на языках программирования C и Objective C и подписан подписью разработчика Apple от «Mait Jakhu» (рис. A).

Рисунок А

Вредоносная программа XLoader подписывается подписью разработчика Apple. Изображение: SentinelOne

Дата подписания — 17 июля 2023 года, но с тех пор Apple отозвала ее. Это означает, что если пользователь попытается выполнить файл на Mac, операционная система выдаст предупреждение об этом (рис. B) и не выполнит его.

Рисунок Б

Попытка запустить вредоносную программу с отозванной подписью не удалась. Изображение: Седрик Пернет/TechRepublic

Исполнение и функциональные возможности XLoader

Вредоносная программа XLoader способна красть пароли из многих браузеров на Windows и Mac, однако ее версия для Mac ограничена кражей паролей из Google Chrome и Mozilla Firefox и кражей содержимого из буфера обмена компьютера. Он имеет возможности защиты от отладки и использует команды сна, чтобы предотвратить его анализ автоматическими решениями безопасности.

После запуска XLoader он показывает ошибку, указывающую, что программное обеспечение не работает, при этом автоматически удаляя свою полезную нагрузку и устанавливая постоянство в фоновом режиме.

Вредоносная программа создает скрытую папку в домашнем каталоге пользователя и создает внутри этой папки исполняемый файл, используя случайные имена как для имени папки, так и для приложения. Агент запуска также помещается в ту же папку и используется для сохранения.

Затем XLoader пытается замаскировать свой настоящий сервер управления и контроля, отправляя фиктивные сетевые вызовы примерно 200 серверам, не связанным с вредоносным ПО.

Как распространяется XLoader?

Образцы вредоносного ПО, обнаруженные SentinelOne, называются OfficeNote.app и выдают себя за приложения Office, показывая значок, выдающий себя за Microsoft Word. XLoader поставляется в виде стандартного образа диска Apple с именем OfficeNote.dmg.

Исследователи отметили, что в течение июля 2023 года на платформе VirusTotal, которая представляет собой систему, предназначенную для запуска нескольких антивирусных механизмов над отправленными файлами, появилось несколько заявок на новый образец вредоносного ПО XLoader. Это признак того, что вредоносное ПО широко распространено в дикой природе.

Новый XLoader рекламируется на подпольных форумах киберпреступников за 199 долларов США в месяц или 299 долларов США в квартал за версию для Mac, а версия для Windows дешевле — 59 долларов США в месяц или 129 долларов США в квартал.

Панель управления, доступная клиентам XLoader, отображается в виде скриншота на подпольных форумах, чтобы киберпреступники могли понять ее функциональные возможности и простоту использования.

Как вы можете защитить свой бизнес от этой угрозы вредоносного ПО XLoader?

Способ доставки образа диска Apple пользователям неизвестен; наиболее распространенными методами доставки таких файлов являются рассылки по электронной почте, прямые загрузки из ненадежных мест, через платформы социальных сетей или обмен мгновенными сообщениями. Чтобы защитить свой бизнес от этой вредоносной угрозы XLoader, настоятельно рекомендуется:

    Контролируйте электронную почту с помощью решений безопасности, которые анализируют все вложенные файлы и ссылки для загрузки файлов. Отслеживайте сетевые журналы для любой конечной точки или сервера, который внезапно отправляет множество запросов на разрешение DNS и инициирует связь со многими разными хостами или IP-адресами в течение нескольких секунд. Запустите программное обеспечение безопасности на всех конечных точках и серверах, чтобы предотвратить и обнаружить вредоносное ПО, такое как XLoader. Запретите пользователям загружать и запускать приложения, полученные из ненадежных магазинов приложений или серверов. Постоянно обновляйте все операционные системы (в данном случае, особенно macOS) до последней версии и исправляйте их, чтобы избежать риска возникновения распространенных уязвимостей.

Раскрытие информации: я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE