Вредоносная программа XLoader крадет логины из систем macOS и Windows

81
Премьер-министр Тайваня призывает к скорейшему принятию законов о защите чипов

Очень популярное вредоносное ПО для кражи информации из систем Windows было преобразовано в новый штамм под названием XLoader, который также может быть нацелен на системы MacOS.

XLoader в настоящее время предлагается на подпольном форуме в качестве службы загрузчика ботнета, которая может «восстанавливать» пароли из веб-браузеров и некоторых почтовых клиентов (Chrome, Firefox, Opera, Edge, IE, Outlook, Thunderbird, Foxmail).

Унаследованный от Formbook info-stealer для Windows, XLoader появился в феврале прошлого года и стал популярным, рекламируясь как кроссплатформенный (Windows и macOS) ботнет без зависимостей.

Связь между двумя вредоносными программами была подтверждена после того, как член сообщества произвел реверс-инжиниринг XLoader и обнаружил, что он имеет тот же исполняемый файл, что и Formbook.

Рекламодатель объяснил, что разработчик Formbook внес большой вклад в создание XLoader, а две вредоносные программы имели схожую функциональность (кража учетных данных, создание снимков экрана, запись нажатий клавиш и выполнение вредоносных файлов).

Клиенты могут арендовать версию вредоносного ПО для macOS за 49 долларов (один месяц) и получить доступ к серверу, который предоставляет продавец. Сохраняя централизованную инфраструктуру управления и контроля, авторы могут контролировать, как клиенты используют вредоносное ПО.

Версия для Windows дороже, так как продавец просит 59 долларов за лицензию на один месяц и 129 долларов за три месяца.

Как упоминалось в рекламе, производители XLoader также бесплатно предоставляют связыватель Java, который позволяет клиентам создавать автономные файлы JAR с двоичными файлами Mach-O и EXE, используемыми в macOS и Windows.

Отслеживая 6-месячную активность XLoader до 1 июня, исследователи вредоносных программ в Check Point увидели запросы из 69 стран , что свидетельствует о значительном распространении вредоносных программ по всему миру, при этом более половины жертв находятся в Соединенных Штатах.

Хотя Formbook больше не рекламируется на подпольных форумах, он по-прежнему представляет собой серьезную угрозу. Он был частью как минимум 1000 кампаний по борьбе с вредоносным ПО за последние три года, и, согласно тенденциям вредоносного ПО AnyRun , информационный кража занимает четвертое место за последние 12 месяцев после Emotet.

Если популярность Formbook является каким-либо показателем, XLoader, вероятно, будет более распространенным, учитывая, что он нацелен на две самые популярные операционные системы, используемые потребителями.

Исследователи Check Point говорят, что XLoader достаточно скрытный, чтобы обычному нетехническому пользователю было сложно его обнаружить.

Они рекомендуют использовать автозапуск macOS, чтобы проверить имя пользователя в ОС и заглянуть в папку LaunchAgents [/ Users / [имя пользователя] / Library / LaunchAgents] и удалить записи с подозрительными именами файлов (имя наугад).

Янив Балмас, руководитель отдела кибер-исследований в Check Point Software, говорит, что XLoader «намного более зрелый и сложный, чем его предшественники [например, Formbook]».

Растущая популярность macOS привлекла к ней нежелательное внимание киберпреступников, которые теперь рассматривают эту ОС как привлекательную цель.

«Хотя между вредоносными программами для Windows и MacOS может существовать разрыв, со временем этот разрыв постепенно сокращается. На самом деле вредоносное ПО для MacOS становится все больше и опаснее », — Янив Балмас.

Исследователь считает, что больше семейств вредоносных программ будут адаптироваться и добавлять macOS в список поддерживаемых операционных систем.

Последнее обновление 1 год назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии