網(wǎng)絡(luò)犯罪分子對(duì)一款針對(duì)Windows系統(tǒng)的著名惡意軟件進(jìn)行了編碼修改，并將其改造成了一款新型的信息竊取型惡意軟件——XLoader。

• 值得一提的是，XLoader這個(gè)惡意軟件變種不僅能夠攻擊Windows系統(tǒng)，而且還可以針對(duì)macOS系統(tǒng)執(zhí)行信息竊取任務(wù)。

XLoader目前在一個(gè)暗網(wǎng)地下論壇中以“僵尸網(wǎng)絡(luò)加載服務(wù)” ( MaaS )的形式提供給網(wǎng)絡(luò)犯罪分子使用。由于該惡意軟件不僅便宜，而且很簡(jiǎn)單，傻瓜模式的操作使得其在競(jìng)爭(zhēng)惡意軟件中脫穎而出。 

從不起眼的鍵盤(pán)記錄器到炙手可熱的惡意軟件

XLoader的前身是針對(duì)Windows系統(tǒng)的信息竊取型惡意軟件——Formbook，這款惡意軟件從去年2月份開(kāi)始一直活躍至今，它也被認(rèn)為是一款無(wú)依賴的跨平臺(tái)僵尸網(wǎng)絡(luò)，并且同時(shí)支持Windows系統(tǒng)和macOS系統(tǒng)。 

安全社區(qū)的一名研究人員在對(duì)XLoader進(jìn)行了逆向工程分析，并且發(fā)現(xiàn)它與Formbook具有相同的可執(zhí)行文件后，確認(rèn)了這兩個(gè)惡意軟件之間的聯(lián)系。

地下論壇的XLoader惡意軟件推廣人員解釋稱，F(xiàn)ormbook的開(kāi)發(fā)人員為創(chuàng)建XLoader做出了很大貢獻(xiàn)，這兩個(gè)惡意軟件具有相似的功能，其中包括竊取登錄憑據(jù)、捕捉屏幕截圖、記錄鍵盤(pán)擊鍵信息和執(zhí)行惡意文件等。

據(jù)了解，每一個(gè)客戶可以以49美元(一個(gè)月)的價(jià)格租用macOS惡意軟件版本，并可以訪問(wèn)賣(mài)家提供的服務(wù)器。通過(guò)維護(hù)一個(gè)中心化的命令和控制基礎(chǔ)設(shè)施，攻擊者將能夠控制客戶端使用惡意軟件的方式。

而XLoader的Windows版本則更貴，運(yùn)營(yíng)商給出的套餐價(jià)格為59美元(一個(gè)月)和129美元(三個(gè)月)。

正如地下論壇廣告中所提到的那樣，XLoader的制造商還免費(fèi)提供了一個(gè)Java綁定器，允許客戶使用Mach-O和EXE二進(jìn)制文件創(chuàng)建一個(gè)獨(dú)立的JAR文件。

全球范圍內(nèi)傳播，低成本的“威脅”

CheckPoint的惡意軟件研究人員對(duì)XLoader進(jìn)行了長(zhǎng)達(dá)六個(gè)月的跟蹤分析，截止至6月1日，他總共發(fā)現(xiàn)了來(lái)自69個(gè)國(guó)家的請(qǐng)求，表明XLoader在全球范圍內(nèi)的傳播非常廣泛，而且有超過(guò)一半的受害者位于美國(guó)地區(qū)。

雖然Formbook現(xiàn)在已經(jīng)不在地下論壇打廣告了，但它所能帶來(lái)的威脅仍不容小覷。在過(guò)去的三年里，它是至少參與了1000個(gè)惡意軟件的攻擊活動(dòng)，根據(jù)AnyRun提供的惡意軟件趨勢(shì)分析報(bào)告，這款信息竊取型惡意軟件在過(guò)去的12個(gè)月內(nèi)排名第四，影響僅次于Emotet。

如果說(shuō)Formbook的流行是一個(gè)起點(diǎn)的話，那么XLoader可能會(huì)更流行，因?yàn)樗槍?duì)的是消費(fèi)者使用的兩種最流行的操作系統(tǒng)。

CheckPoint的研究人員表示，XLoader的隱蔽性足以讓普通的非技術(shù)用戶很難發(fā)現(xiàn)它。

安全建議

macOS的日益普及使它越來(lái)越受到網(wǎng)絡(luò)犯罪分子的關(guān)注了，而macOS目前也已經(jīng)成為了網(wǎng)絡(luò)犯罪分子眼中極具吸引力的目標(biāo)之一。

雖然Windows和MacOS惡意軟件之間可能存在差距，但隨著時(shí)間的推移，這種差距正在慢慢縮小。研究人員也認(rèn)為，將來(lái)會(huì)有越來(lái)越多針對(duì)macOS系統(tǒng)的惡意軟件誕生，而現(xiàn)有的惡意軟件也會(huì)逐步將macOS系統(tǒng)添加到自己受支持的操作系統(tǒng)列表中。

最后，研究人員建議廣大用戶使用macOS的Autorun檢查操作系統(tǒng)中的用戶名，并查看LaunchAgents目錄[/Users/[username]/Library/LaunchAgents]，然后刪除包含可疑文件名的內(nèi)容。