网络犯罪分子将一种著名的Windows恶意软件编码成一种名为XLoader的新型信息窃取恶意软件。值得一提的是,XLoader这一恶意软件变种不仅可以攻击Windows系统,还可以在macOS系统上执行信息窃取任务。XLoader目前作为暗网地下论坛上的“僵尸网络加载服务”(MaaS)可供网络犯罪分子使用。由于该恶意软件不仅便宜,而且简单,其愚蠢的操作模式使其从竞争恶意软件中脱颖而出。XLoader可以从Web浏览器和一些电子邮件客户端(Chrome、Firefox、Opera、Edge、IE、Outlook、Thunderbird、Foxmail)恢复和窃取密码从不起眼的键盘记录器到炙手可热的恶意软件XLoader的前身是Formbook,这是一种针对Windows的信息窃取恶意软件系统,自去年2月以来一直处于活动状态。它也被认为是一个没有依赖关系的跨平台僵尸网络,同时支持Windows和macOS系统。受害者被诱骗通过包含恶意MicrosoftOffice文档的欺骗性电子邮件下载XLoader。安全社区的一名研究人员在对XLoader进行逆向工程并发现它与Formbook具有相同的可执行文件后确认了这两者。恶意软件之间的联系。某地下论坛XLoader恶意软件推广者解释称,Formbook的开发者为创建XLoader贡献良多,这两款恶意软件具有相似的功能,包括窃取登录凭证、捕获屏幕截图、记录击键和执行恶意文件等。据了解,每位客户可以以49美元(一个月)的价格租用macOS恶意软件版本,并可以访问卖家提供的服务器。通过维护集中式命令和控制基础架构,攻击者将能够控制客户端使用恶意软件的方式。Windows版XLoader价格更高,运营商提供的套餐价格为59美元(一个月)和129美元(三个月)。正如地下论坛广告中提到的,XLoader的制造商还免费提供Java绑定器,允许客户使用Mach-O和EXE二进制文件创建独立的JAR文件。CheckPoint的全球传播、低成本“威胁”恶意软件研究人员已经对XLoader进行了六个月的跟踪和分析。截至6月1日,他一共发现了来自69个国家的请求,这表明XLoader在全球范围内传播广泛,超过一半的受害者位于美国。虽然Formbook不再在地下论坛上做广告,但它可能造成的威胁不容小觑。在过去三年中,它至少参与了1000次恶意软件攻击。根据AnyRun提供的恶意软件趋势分析报告,该信息窃取恶意软件在过去12个月中排名第四,仅次于Emotet。如果Formbook的流行是一个起点,那么XLoader可能会更受欢迎,因为它针对消费者使用的两种最流行的操作系统。CheckPoint研究人员表示,XLoader非常隐蔽,普通非技术用户很难发现它。安全建议macOS的日益普及引起了越来越多的网络犯罪分子的关注,macOS现已成为网络犯罪分子眼中最具吸引力的目标之一。虽然Windows和MacOS恶意软件之间可能存在差距,但随着时间的推移,这种差距正在慢慢缩小。研究人员还认为,未来会诞生越来越多针对macOS系统的恶意软件,现有的恶意软件会逐渐将macOS系统添加到其支持的操作系统列表中。最后,研究人员建议用户使用macOS的Autorun检查操作系统中的用户名,并查看LaunchAgents目录[/Users/[username]/Library/LaunchAgents],删除包含可疑文件名的内容。
