據(jù) SentinelOne 的網(wǎng)絡(luò)安全專家稱，一種名為 XLoader 的蘋果 macOS 惡意軟件的新變種目前已經(jīng)出現(xiàn)，它會偽裝成一個名為 "OfficeNote "的辦公自動化應(yīng)用程序進(jìn)行攻擊。

研究人員迪內(nèi)希-德瓦多斯（Dinesh Devadoss）和菲爾-斯托克斯（Phil Stokes）在周一發(fā)布的一份分析報告中透露，這個新形式的 XLoader 被打包在一個名為 OfficeNote.dmg 的普通蘋果磁盤鏡像中。并且該應(yīng)用程序還帶有開發(fā)者的簽名 "MAIT JAKHU (54YDV8NU9C)"。

XLoader 最初被發(fā)現(xiàn)于 2020 年，當(dāng)時被歸類為信息竊取程序和鍵盤記錄程序，以惡意軟件即服務(wù)（MaaS）模式運(yùn)行。

它模仿了 Formbook 的攻擊方式。雖然 XLoader 的 macOS 變種于 2021 年 7 月才出現(xiàn)，當(dāng)時是以編譯的.JAR 文件的 Java 程序形式發(fā)布，但其正常的運(yùn)行受到現(xiàn)代 macOS 安裝中 Java 運(yùn)行時環(huán)境缺失的限制。

為了規(guī)避這一限制，最新版本的 XLoader 使用了 C 和 Objective C 等編程語言。攜帶該惡意軟件的磁盤鏡像文件是在 2023 年 7 月 17 日簽署的，蘋果公司后來撤銷了這一簽名。

SentinelOne 報告稱，2023 年 7 月在 VirusTotal 上發(fā)現(xiàn)了該惡意軟件的多個實例，表明這是一個影響范圍很大的攻擊活動。研究人員還注意到，該惡意軟件在犯罪論壇上打出了出租廣告，macOS 版本的售價為每月 199 美元或三個月 299 美元。

有趣的是，這一價格比 Windows 版本的 XLoader 更貴，后者的價格為每月 59 美元或三個月 129 美元。

這個惡意程序一旦啟動，這個看似無害的 OfficeNote 應(yīng)用程序就會顯示一條錯誤信息，聲稱由于缺少一個原始項目而無法被打開。實際上，它已經(jīng)在后臺偷偷安裝了一個啟動代理，以確保其能夠持續(xù)運(yùn)行。

XLoader 的功能主要是收集剪貼板數(shù)據(jù)和存儲在與谷歌瀏覽器和火狐瀏覽器等網(wǎng)絡(luò)瀏覽器相關(guān)目錄中的信息。不過，Safari 目前似乎并不受其影響。

此外，該惡意軟件還引入了睡眠命令，延遲執(zhí)行并躲避人工和自動安全措施的檢測。

研究人員總結(jié)說，XLoader 目前已經(jīng)對 macOS 用戶和企業(yè)構(gòu)成了很大的威脅。

這個偽裝成辦公生產(chǎn)應(yīng)用程序的最新迭代版本表明，其攻擊目標(biāo)顯然是工作環(huán)境中的用戶。該惡意軟件會試圖竊取瀏覽器和剪貼板的信息，這些機(jī)密信息可能會被用于或出售給其他威脅行為者，以進(jìn)一步進(jìn)行破壞。

本文翻譯自：https://www.cysecurity.news/2023/08/xloader-macos-malware-variant-disguised.html如若轉(zhuǎn)載，請注明原文地址