XLoader снова в игре: яблочный инфостилер возвращается для проведения новых атак

Похититель информации XLoader, известный своей вредоносной активностью с 2015 года, в 2021 году начал атаковать системы macOS, используя зависимости Java, однако затем надолго пропал с радаров.

Согласно недавнему отчёту , опубликованному компанией SentinelOne, вредонос вернулся с новыми функциями и особенностями. Исследователи отметили, что в новой версии вирус весьма самодостаточен, он написан на языках C и Objective-C и имеет подлинную подпись разработчика Apple.

«Новая версия XLoader встроена в стандартный образ Apple с именем OfficeNote.dmg», — пишут исследователи SentinelOne Динеш Девадосс и Фил Стокс.

Маскировка под офисное приложение даёт понять, что целью атак являются пользователи, которые много работают с документами. Видимо, так хакеры хотят заполучить какую-либо полезную конфиденциальную информацию.

Замаскированное под OfficeNote приложение использует тактику перенаправления сообщений об ошибках, тайно устанавливая свою полезную нагрузку и механизмы закрепления в системе, объясняют исследователи.

Новая итерация вредоноса сохранила свою былую славу в области кражи информации. Данные могут быть извлечены прямо из буферов обмена жертв, особенно это касается браузеров Chrome и Firefox. При этом вредонос избегает проверки с помощью запутанных сетевых подключений и мер по предотвращению анализа.

«MacOS разрешает выполнение загруженных из интернета приложений, подписанных разработчиками Apple», — поясняет Дункан Миллер, директор по безопасности конечных точек Tanium. «Это подчёркивает важность мониторинга подписей приложений, выполняемых в среде, и регулярной проверки используемых подписей».

SentinelOne обнаружила широкое распространение нового варианта XLoader на киберпреступных форумах. Похититель данных предлагается в аренду по необычайно высоким ценам — $199 в месяц или $299 за 3 месяца. Это довольно дорого для такого рода вредоносного софта.

«Эволюция механизма распространения XLoader от Java-зависимого к использованию собственной платформы macOS является ярким свидетельством постоянно меняющегося ландшафта угроз кибербезопасности», — предупредила Калли Гуентер, старший менеджер исследований киберугроз компании Critical Start.

«Приверженность хакеров постоянному развитию своих инструментов и методологий служит мощным напоминанием о том, что в мире кибербезопасности излишняя самоуверенность недопустима, а стремление к надёжной защите является непрекращающейся задачей», — добавила Гуентер.

Эксперты рекомендуют пользователям macOS проявлять бдительность, подчёркивая срочность развёртывания надёжных решений безопасности от сторонних производителей для противодействия подобного рода угрозам.