Malware XLoader rouba logins de sistemas MacOS e Windows

Malware XLoader rouba logins de sistemas MacOS e Windows

Um software malicioso muito conhecido por roubar informações de sistemas Windows foi modificado para dar vida a uma nova variante, a XLoader, que também pode ter como alvo sistemas MacOS.

O malware XLoader está sendo oferecido em um fórum clandestino como um serviço de carregador de botnet, que pode “recuperar” senhas de navegadores da web e alguns clientes de e-mail (como Chrome, Firefox, Opera, Edge, IE, Outlook, Thunderbird, Foxmail).

Derivado do ladrão de informações Formbook, para Windows, o XLoader surgiu em fevereiro passado e cresceu em popularidade, anunciado como um botnet de plataforma cruzada (Windows e MacOS) sem dependências.

A conexão entre as duas partes do malware foi confirmada depois que um membro da comunidade fez a engenharia reversa do XLoader, e descobriu que ele tinha o mesmo executável do Formbook.

O anunciante explicou que o desenvolvedor do Formbook contribuiu muito para a criação do XLoader, e os dois malwares tinham funcionalidade semelhante (roubar credenciais de login, capturar imagens, registrar teclas digitadas e executar arquivos maliciosos).

Os clientes podem alugar a versão do malware MacOS por US $ 49 (ao mês) e obter acesso a um servidor fornecido pelo vendedor. Ao manter um comando centralizado e uma infraestrutura de controle, os autores podem controlar como os clientes usam o malware.

A versão do Windows é mais cara, pois o vendedor pede US $ 59 por uma licença de um mês e US $ 129 por três meses.

Conforme mencionado no anúncio, os fabricantes do XLoader também fornecem um fichário Java gratuitamente, que permite aos clientes criar um arquivo JAR autônomo com os binários Mach-O e EXE usados ​​pelo MacOS e Windows.

Rastreando, durante 6 meses, a atividade do XLoader até 1º de junho, os pesquisadores de malware da Check Point detectaram solicitações de 69 países, indicando uma distribuição significativa em todo o mundo, com mais da metade das vítimas nos Estados Unidos.

Embora o Formbook não seja mais anunciado em fóruns clandestinos, ele continua a ser uma ameaça predominante. Ele fez parte de, pelo menos, 1.000 campanhas de malware nos últimos três anos, e de acordo com as tendências de malware do AnyRun, esse ladrão de informações ocupa o quarto lugar no ranking de ameaças executadas nos últimos 12 meses, depois do Emotet

Se a popularidade do Formbook for alguma indicação, o XLoader provavelmente será mais dominante, uma vez que visa os dois sistemas operacionais mais populares ​​entre os consumidores.

Os investigadores da Check Point dizem que o XLoader é disfarçado o suficiente para dificultar que um usuário comum não técnico o localize.

Eles recomendam usar o Autorun do MacOS para verificar o nome de usuário no sistema operacional e examinar a pasta LaunchAgents [/ Users / [username] / Library / LaunchAgents] e excluir entradas com nomes de arquivos suspeitos (aleatórios).

Yaniv Balmas, chefe de pesquisa cibernética da Check Point Software, afirma que “o XLoader é muito mais maduro e sofisticado do que seus antecessores [leia-se, Formbook].”

A popularidade crescente do macOS o expôs à atenção indesejada de cibercriminosos, que agora estão vendo o sistema operacional como um alvo atraente.

“Embora possa haver uma lacuna entre o malware do Windows e do MacOS, ela está diminuindo lentamente com o tempo. A verdade é que o malware do MacOS está se tornando maior e mais perigoso”, disse Balmas.

O pesquisador acredita que mais famílias de malware irão se adaptar e adicionar o MacOS à lista de sistemas operacionais suportados.

 

Tradução por: Daniel Henrique

Link original

Missão: Firewall como negócio

Seja um Parceiro Starti