| 21 июля 2021 г. — 5:54 утра по тихоокеанскому времени
Вредоносное ПО XLoader теперь переместилось с компьютеров под управлением Windows и атакует Mac. Являясь эволюцией вредоносного ПО, известного как Formbook, оно позволяет злоумышленнику записывать нажатия клавиш, делать снимки экрана и получать доступ к другой конфиденциальной информации.
Вызывает беспокойство тот факт, что вредоносное ПО продается в даркнете за 49 долларов, что позволяет любому развернуть его как против пользователей Windows, так и macOS …
Хорошая новость в том, что для его запуска требуется действие пользователя. Злоумышленники обычно отправляют электронное письмо, содержащее вредоносное ПО, внедренное в документы Microsoft Office.
Исследователи безопасности из Check Point обнаружили его.
Check Point Research (CPR) обнаружила новый штамм вредоносного ПО, который эволюционировал для кражи информации у пользователей macOS. Новый штамм под названием «XLoader» является производным от известного семейства вредоносных программ «Formbook», которое в основном нацеливалось на пользователей Windows, но прекратило продажи в 2018 году. Formbook сменил название на XLoader в 2020 году. За последние шесть месяцев CPR изучала деятельность XLoader и выяснила, что XLoader очень активен, нацеливаясь не только на Windows, но, к удивлению CPR, и на пользователей Mac.
Хакеры могут покупать лицензии XLoader в даркнете всего за 49 долларов, что дает им возможность собирать учетные данные для входа, делать снимки экрана, записывать нажатия клавиш и выполнять вредоносные файлы. Жертв обманом заставляют загружать XLoader с помощью поддельных электронных писем, содержащих вредоносные документы Microsoft Office.
Это потенциальная угроза для всех пользователей Mac. В 2018 году Apple оценивала, что в использовании находится более 100 миллионов Mac.
CPR отслеживала активность Xloader в период с 1 декабря 2020 года по 1 июня 2021 года. CPR зафиксировала запросы XLoader из 69 стран. Более половины (53%) жертв находятся в Соединенных Штатах.
XLoader незаметен, что затрудняет определение момента заражения Mac, но компания предоставляет один способ проверки.
1. Перейдите в каталог /Users/[username]/Library/LaunchAgents
2. Проверьте наличие подозрительных имен файлов в этом каталоге (пример ниже — случайное имя)/Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist
Как и при любом вредоносном ПО, вы можете минимизировать риск заражения, избегая подозрительных веб-сайтов и проявляя осторожность с вложениями. Никогда не открывайте вложение, если вы не знаете отправителя и не ожидаете его – поскольку злоумышленники часто подделывают адрес отправителя в электронной почте.
Янив Бальмас, руководитель отдела кибер-исследований в Check Point Software, заявил, что владельцы Mac не должны быть беспечными.
Исторически сложилось так, что вредоносное ПО для macOS было не очень распространенным. Обычно оно относилось к категории «шпионское ПО», не причиняя особого вреда.
Я думаю, что у пользователей macOS существует распространенное заблуждение, что платформы Apple более безопасны, чем другие, более широко используемые платформы. Хотя может существовать разрыв между вредоносным ПО для Windows и macOS, этот разрыв постепенно сокращается. Правда в том, что вредоносное ПО для macOS становится все более масштабным и опасным. Наши недавние выводы являются прекрасным примером и подтверждают эту растущую тенденцию. С растущей популярностью платформ macOS имеет смысл, чтобы киберпреступники проявляли больший интерес к этой области, и я лично ожидаю увидеть больше киберугроз, следующих по стопам семейства вредоносных программ Formbook.
Фото: Илья Павлов/Unsplash