據(jù) SentinelOne 的網(wǎng)絡(luò)安全專(zhuān)家稱(chēng)，一種名為 XLoader 的蘋(píng)果 macOS 惡意軟件的新變種目前已經(jīng)出現(xiàn)，它會(huì)偽裝成一個(gè)名為 "OfficeNote "的辦公自動(dòng)化應(yīng)用程序進(jìn)行攻擊。

研究人員迪內(nèi)希-德瓦多斯（Dinesh Devadoss）和菲爾-斯托克斯（Phil Stokes）在周一發(fā)布的一份分析報(bào)告中透露，這個(gè)新形式的 XLoader 被打包在一個(gè)名為 OfficeNote.dmg 的普通蘋(píng)果磁盤(pán)鏡像中。并且該應(yīng)用程序還帶有開(kāi)發(fā)者的簽名 "MAIT JAKHU (54YDV8NU9C)"。

XLoader 最初被發(fā)現(xiàn)于 2020 年，當(dāng)時(shí)被歸類(lèi)為信息竊取程序和鍵盤(pán)記錄程序，以惡意軟件即服務(wù)（MaaS）模式運(yùn)行。

它模仿了 Formbook 的攻擊方式。雖然 XLoader 的 macOS 變種于 2021 年 7 月才出現(xiàn)，當(dāng)時(shí)是以編譯的.JAR 文件的 Java 程序形式發(fā)布，但其正常的運(yùn)行受到現(xiàn)代 macOS 安裝中 Java 運(yùn)行時(shí)環(huán)境缺失的限制。

為了規(guī)避這一限制，最新版本的 XLoader 使用了 C 和 Objective C 等編程語(yǔ)言。攜帶該惡意軟件的磁盤(pán)鏡像文件是在 2023 年 7 月 17 日簽署的，蘋(píng)果公司后來(lái)撤銷(xiāo)了這一簽名。

SentinelOne 報(bào)告稱(chēng)，2023 年 7 月在 VirusTotal 上發(fā)現(xiàn)了該惡意軟件的多個(gè)實(shí)例，表明這是一個(gè)影響范圍很大的攻擊活動(dòng)。研究人員還注意到，該惡意軟件在犯罪論壇上打出了出租廣告，macOS 版本的售價(jià)為每月 199 美元或三個(gè)月 299 美元。

有趣的是，這一價(jià)格比 Windows 版本的 XLoader 更貴，后者的價(jià)格為每月 59 美元或三個(gè)月 129 美元。

這個(gè)惡意程序一旦啟動(dòng)，這個(gè)看似無(wú)害的 OfficeNote 應(yīng)用程序就會(huì)顯示一條錯(cuò)誤信息，聲稱(chēng)由于缺少一個(gè)原始項(xiàng)目而無(wú)法被打開(kāi)。實(shí)際上，它已經(jīng)在后臺(tái)偷偷安裝了一個(gè)啟動(dòng)代理，以確保其能夠持續(xù)運(yùn)行。

XLoader 的功能主要是收集剪貼板數(shù)據(jù)和存儲(chǔ)在與谷歌瀏覽器和火狐瀏覽器等網(wǎng)絡(luò)瀏覽器相關(guān)目錄中的信息。不過(guò)，Safari 目前似乎并不受其影響。

此外，該惡意軟件還引入了睡眠命令，延遲執(zhí)行并躲避人工和自動(dòng)安全措施的檢測(cè)。

研究人員總結(jié)說(shuō)，XLoader 目前已經(jīng)對(duì) macOS 用戶(hù)和企業(yè)構(gòu)成了很大的威脅。

這個(gè)偽裝成辦公生產(chǎn)應(yīng)用程序的最新迭代版本表明，其攻擊目標(biāo)顯然是工作環(huán)境中的用戶(hù)。該惡意軟件會(huì)試圖竊取瀏覽器和剪貼板的信息，這些機(jī)密信息可能會(huì)被用于或出售給其他威脅行為者，以進(jìn)一步進(jìn)行破壞。

本文翻譯自：https://www.cysecurity.news/2023/08/xloader-macos-malware-variant-disguised.html如若轉(zhuǎn)載，請(qǐng)注明原文地址