Pojavila se nova varijanta Apple macOS malware-a pod nazivom XLoader, maskirajući svoje maliciozne osobine pod maskom kancelarijske aplikacije za produktivnost pod nazivom “OfficeNote”.
“Nova verzija XLoader- a je u paketu unutar standardnog Apple disk image-a pod nazivom OfficeNote.dmg”, rekli su istraživači sigurnosti SentinelOne Dinesh Devadoss i Phil Stokes u analizi od ponedjeljka. “Aplikacija sadržana u njoj je potpisana potpisom programera MAIT JAKHU (54YDV8NU9C).”
XLoader, koji je prvi put otkriven 2020. godine, smatra se nasljednikom Formbook-a i kradljivac je informacija i keylogger koji se nudi pod modelom malware-as-a-service (MaaS). MacOS varijanta malware-a pojavila se u julu 2021. godine, distribuirana kao Java program u obliku kompajlirane .JAR datoteke.
“Takvi fajlovi zahtevaju Java Runtime Environment, i iz tog razloga maliciozni .jar fajl neće se izvršiti na macOS instalaciji iz kutije, pošto je Apple prestao da isporučuje JRE sa Mac računarima pre više od deset godina”, istakla je tada firma za sajber bezbednost .
Najnovija iteracija XLoader-a zaobilazi ovo ograničenje prelaskom na programske jezike kao što su C i Objective C, sa datotekom slike diska potpisanom 17. jula 2023. Apple je od tada opozvao potpis.
SentinelOne je rekao da je otkrio višestruko slanje artefakta na VirusTotal tokom mjeseca jula 2023. godine, što ukazuje na rasprostranjenu kampanju.
“Oglasi na forumima o kriminalističkom softveru nude verziju za Mac za iznajmljivanje po cijeni od 199 USD mjesečno ili 299 USD/3 mjeseca”, rekli su istraživači. “Zanimljivo je da je ovo relativno skupo u poređenju sa Windows varijantama XLoader-a, koje koštaju 59 USD mesečno i 129 USD/3 meseca.”
Jednom kada se izvrši, OfficeNote šalje poruku o grešci koja kaže da se “ne može otvoriti jer se originalna stavka ne može pronaći” kao taktiku skretanja, ali, u stvarnosti, instalira Launch Agent u pozadini radi postojanosti.
XLoader je dizajniran za prikupljanje podataka iz clipboard-a, kao i informacija pohranjenih u direktorijima povezanim s web pretraživačima kao što su Google Chrome i Mozilla Firefox. Safari, međutim, nije ciljan.
Osim preduzimanja koraka za izbjegavanje analize kako ručnih tako i automatizovanih rješenja, malware je konfigurisan da pokreće sleep komande kako bi odgodio njegovo izvršenje i izbjegao podizanje bilo kakve uzbune.
“XLoader i dalje predstavlja prijetnju korisnicima i preduzećima macOS-a”, zaključili su istraživači.
“Ova najnovija iteracija maskirana u kancelarijsku produktivnu aplikaciju pokazuje da su mete interesovanja očigledno korisnici u radnom okruženju. Malware pokušava ukrasti tajne pretraživača i clipboard-a koje bi se mogle koristiti ili prodati drugim hakerima za daljnje iskorištavanje.”
