Νέα παραλλαγή του κακόβουλου λογισμικού XLoader για το macOS παρουσιάζεται ως εφαρμογή παραγωγικότητας ‘OfficeNote’.
Το XLoader, το οποίο ανιχνεύθηκε για πρώτη φορά το 2020, θεωρείται διάδοχος του Formbook και είναι ένα λογισμικό που κλέβει πληροφορίες και καταγράφει πληκτρολογήσεις, προσφέροντας υπό το μοντέλο malware-as-a-service (MaaS). Μια παραλλαγή του κακόβουλου λογισμικού για macOS εμφανίστηκε τον Ιούλιο του 2021, διανέμεται ως ένα πρόγραμμα Java σε μορφή μεταγλωττισμένου αρχείου .JAR.
“Τέτοια αρχεία απαιτούν το Java Runtime Environment και για αυτόν τον λόγο το κακόβουλο αρχείο .jar δεν θα εκτελεστεί σε εγκατάσταση macOS out of the box, αφού η Apple σταμάτησε να αποστέλλει JRE με Mac πριν από μια δεκαετία”, σημείωσε η εταιρεία κυβερνοασφάλειας SentinelOne εκείνη την εποχή.
Η πιο πρόσφατη εκδοχή του XLoader αντιμετωπίζει αυτό το περιορισμό εναλλάσσοντας τις γλώσσες προγραμματισμού όπως την C και την Objective C, με το αρχείο εικόνας του δίσκου να έχει υπογραφεί στις 17 Ιουλίου 2023. Η Apple έκτοτε έχει ανακαλέσει την υπογραφή.
Η SentinelOne ανέφερε ότι ανιχνεύθηκαν πολλαπλές υποβολές του αρχείου στο VirusTotal καθ’ όλη τη διάρκεια του Ιουλίου του 2023, υποδεικνύοντας μια ευρεία επιχείρηση.
Μετά την εκτέλεση, το OfficeNote εμφανίζει ένα μήνυμα σφάλματος που αναφέρει ότι “δεν μπορεί να ανοιχτεί επειδή το πρωτότυπο αντικείμενο δεν μπορεί να βρεθεί”, αλλά, στην πραγματικότητα, εγκαθίστα έναν Launch Agent στο παρασκήνιο για την διατήρηση του persistence.
Το XLoader είναι σχεδιασμένο για να συλλέγει δεδομένα από το πρόχειρο καθώς και πληροφορίες που αποθηκεύονται στους φακέλους που σχετίζονται με τους περιηγητές ιστού, όπως ο Google Chrome και ο Mozilla Firefox. Ωστόσο, ο περιηγητής Safari δεν είναι στόχος του.
Εκτός από τη λήψη μέτρων για να αποφύγει την ανάλυση τόσο με χειροκίνητες όσο και με αυτοματοποιημένες λύσεις, το κακόβουλο λογισμικό ρυθμίζεται να εκτελεί εντολές ύπνου για να καθυστερήσει την εκτέλεσή του και να αποφύγει την αναγνώριση οποιασδήποτε ύποπτης δραστηριότητας.
Οι ερευνητές κατέληξαν ότι το XLoader συνεχίζει να αποτελεί απειλή για τους χρήστες και τις επιχειρήσεις του macOS.
Αυτή η πιο πρόσφατη εκδοχή, που παρουσιάζεται ως μια εφαρμογή παραγωγικότητας στο γραφείο, απευθύνεται κυρίως σε χρήστες που εργάζονται σε περιβάλλον γραφείου. Ο κακόβουλος κώδικας προσπαθεί να κλέψει μυστικά περιηγητή και προσωπικών πληροφοριών που μπορεί να χρησιμοποιηθούν ή να πωληθούν σε άλλους χάκερ για περαιτέρω παραβίαση.
Πηγή πληροφοριών: thehackernews.com
