Ένα πολύ δημοφιλές malware που «κλέβει» πληροφορίες από συστήματα Windows, έχει τροποποιηθεί σε ένα νέο στέλεχος με την ονομασία “XLoader”, το οποίο μπορεί να στοχεύσει και συστήματα macOS.
Το XLoader προσφέρεται επί του παρόντος σε ένα υπόγειο φόρουμ ως botnet loader υπηρεσία που μπορεί να “ανακτήσει” κωδικούς πρόσβασης από web browsers και ορισμένους email clients (Chrome, Firefox, Opera, Edge, IE, Outlook, Thunderbird, Foxmail).
Προερχόμενο από το Formbook info-stealer για Windows, το XLoader εμφανίστηκε τον περασμένο Φεβρουάριο και έγινε δημοφιλές, ενώ διαφημίστηκε ως cross-platform botnet (Windows και macOS) χωρίς εξαρτήσεις.
Διαβάστε επίσης: MosaicLoader malware: Παρουσιάζεται σαν cracked software και μολύνει θύματα
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Η σύνδεση μεταξύ των δύο στελεχών malware επιβεβαιώθηκε αφότου ένα μέλος της κοινότητας διαπίστωσε ότι το XLoader είχε το ίδιο εκτελέσιμο με το Formbook.
Ο διαφημιζόμενος εξήγησε ότι ο προγραμματιστής του Formbook συνέβαλε πολύ στη δημιουργία του XLoader και ότι τα δύο malware λειτουργούν με παρόμοιο τρόπο (κλέβουν credentials σύνδεσης, τραβούν screenshots, καταγράφουν πληκτρολογήσεις και εκτελούν κακόβουλα αρχεία).
Οι πελάτες μπορούν να νοικιάσουν την έκδοση του macOS malware στην τιμή των 49$ (ένα μήνα) και να αποκτήσουν πρόσβαση σε έναν server που παρέχει ο πωλητής. Διατηρώντας μια κεντρική υποδομή εντολών και ελέγχου, οι authors μπορούν να ελέγχουν τον τρόπο με τον οποίο οι πελάτες χρησιμοποιούν το malware.
Η έκδοση των Windows είναι πιο ακριβή, καθώς ο πωλητής ζητά 59$ για ένα μήνα και 129$ για τρεις μήνες.
Δείτε ακόμη: BIOPASS malware: Δείχνει σε live stream την οθόνη του PC του θύματος
Όπως αναφέρεται στη διαφήμιση, οι δημιουργοί του XLoader παρέχουν επίσης δωρεάν ένα Java binder, το οποίο επιτρέπει στους πελάτες να δημιουργήσουν ένα αυτόνομο αρχείο JAR με τα binaries Mach-O και EXE που χρησιμοποιούνται από macOS και Windows.
Παρακολουθώντας τη δραστηριότητα 6 μηνών του XLoader έως την 1η Ιουνίου, ερευνητές malware της Check Point είδαν αιτήματα από 69 χώρες, γεγονός που υποδεικνύει μια σημαντική εξάπλωση σε ολόκληρο τον κόσμο, με περισσότερα από τα μισά θύματα να βρίσκονται στις ΗΠΑ. Αν και το Formbook δεν διαφημίζεται πλέον σε υπόγεια φόρουμ, εξακολουθεί να αποτελεί επικρατούσα απειλή. Ήταν μέρος τουλάχιστον 1.000 malware εκστρατειών τα τελευταία τρία χρόνια και σύμφωνα με τα malware trends του AnyRun, το info-stealer βρίσκεται στην τέταρτη θέση τους τελευταίους 12 μήνες, μετά το Emotet.
Το XLoader είναι πιθανό να είναι πιο διαδεδομένο, δεδομένου ότι στοχεύει τα δύο πιο δημοφιλή λειτουργικά συστήματα που χρησιμοποιούν οι καταναλωτές.
Πρόταση: Joker malware: Μολύνει apps και αποφεύγει την ανίχνευση με νέες τακτικές
Οι ερευνητές της Check Point ανέφεραν ότι το XLoader είναι αρκετά «κρυφό», ώστε για να δυσκολεύει έναν χρήστη που δεν έχει τεχνικές δεξιότητες να το εντοπίσει.
Ο Yaniv Balmas, επικεφαλής της Έρευνας στον κυβερνοχώρο στην Check Point, δήλωσε ότι το XLoader είναι «πολύ πιο ώριμο και εξελιγμένο από τους προκατόχους του». Ο ερευνητής επεσήμανε ακόμη ότι η αυξανόμενη δημοτικότητα του macOS, το εξέθεσε σε ανεπιθύμητη προσοχή μεταξύ των κυβερνοεγκληματιών, οι οποίοι τώρα βλέπουν το λειτουργικό σύστημα ως ελκυστικό στόχο.
Πηγή πληροφοριών: bleepingcomputer.com