網絡犯罪分子對一款針對Windows系統的著名惡意軟件進行了編碼修改，并將其改造成了一款新型的信息竊取型惡意軟件——XLoader。

• 值得一提的是，XLoader這個惡意軟件變種不僅能夠攻擊Windows系統，而且還可以針對macOS系統執行信息竊取任務。

XLoader目前在一個暗網地下論壇中以“僵尸網絡加載服務” ( MaaS )的形式提供給網絡犯罪分子使用。由于該惡意軟件不僅便宜，而且很簡單，傻瓜模式的操作使得其在競爭惡意軟件中脫穎而出。 

從不起眼的鍵盤記錄器到炙手可熱的惡意軟件

XLoader的前身是針對Windows系統的信息竊取型惡意軟件——Formbook，這款惡意軟件從去年2月份開始一直活躍至今，它也被認為是一款無依賴的跨平臺僵尸網絡，并且同時支持Windows系統和macOS系統。 

安全社區的一名研究人員在對XLoader進行了逆向工程分析，并且發現它與Formbook具有相同的可執行文件后，確認了這兩個惡意軟件之間的聯系。

地下論壇的XLoader惡意軟件推廣人員解釋稱，Formbook的開發人員為創建XLoader做出了很大貢獻，這兩個惡意軟件具有相似的功能，其中包括竊取登錄憑據、捕捉屏幕截圖、記錄鍵盤擊鍵信息和執行惡意文件等。

據了解，每一個客戶可以以49美元(一個月)的價格租用macOS惡意軟件版本，并可以訪問賣家提供的服務器。通過維護一個中心化的命令和控制基礎設施，攻擊者將能夠控制客戶端使用惡意軟件的方式。

而XLoader的Windows版本則更貴，運營商給出的套餐價格為59美元(一個月)和129美元(三個月)。

正如地下論壇廣告中所提到的那樣，XLoader的制造商還免費提供了一個Java綁定器，允許客戶使用Mach-O和EXE二進制文件創建一個獨立的JAR文件。

全球范圍內傳播，低成本的“威脅”

CheckPoint的惡意軟件研究人員對XLoader進行了長達六個月的跟蹤分析，截止至6月1日，他總共發現了來自69個國家的請求，表明XLoader在全球范圍內的傳播非常廣泛，而且有超過一半的受害者位于美國地區。

雖然Formbook現在已經不在地下論壇打廣告了，但它所能帶來的威脅仍不容小覷。在過去的三年里，它是至少參與了1000個惡意軟件的攻擊活動，根據AnyRun提供的惡意軟件趨勢分析報告，這款信息竊取型惡意軟件在過去的12個月內排名第四，影響僅次于Emotet。

如果說Formbook的流行是一個起點的話，那么XLoader可能會更流行，因為它針對的是消費者使用的兩種最流行的操作系統。

CheckPoint的研究人員表示，XLoader的隱蔽性足以讓普通的非技術用戶很難發現它。

安全建議

macOS的日益普及使它越來越受到網絡犯罪分子的關注了，而macOS目前也已經成為了網絡犯罪分子眼中極具吸引力的目標之一。

雖然Windows和MacOS惡意軟件之間可能存在差距，但隨著時間的推移，這種差距正在慢慢縮小。研究人員也認為，將來會有越來越多針對macOS系統的惡意軟件誕生，而現有的惡意軟件也會逐步將macOS系統添加到自己受支持的操作系統列表中。

最后，研究人員建議廣大用戶使用macOS的Autorun檢查操作系統中的用戶名，并查看LaunchAgents目錄[/Users/[username]/Library/LaunchAgents]，然后刪除包含可疑文件名的內容。