< p class="meta"> Von Charlie Osborne für Zero Day | 21. Juli 2021 — 10:00 GMT (11:00 BST) | Thema: Sicherheit
Forscher haben eine billige Malware-Variante entdeckt, die sich einst auf Windows-Computer konzentrierte und aufgerüstet wurde, um Mac-PCs zu infizieren.
Am Mittwoch sagte Check Point Research (CPR) Die als “XLoader” bezeichnete Malware stammt von einer Windows-basierten Variante namens Formbook.
Formbook war einst in Untergrundforen für nur 29 US-Dollar pro Woche im Abonnement erhältlich. Diese Malware wurde jedoch vor etwa vier Jahren vom Entwickler, bekannt als ng-Coder, aus dem Verkauf genommen und tauchte erst 2020 wieder auf – unter dem neuen Namen XLoader.
Es sollte jedoch beachtet werden, dass Formbook trotz des Verkaufsstopps eine weit verbreitete Bedrohung in freier Wildbahn bleibt.
CPR hat die Malware in den letzten sechs Monaten analysiert. Die Forscher haben festgestellt, dass die gleiche Codebasis wie bei Formbook im Spiel ist, aber der Entwickler hat erhebliche Änderungen vorgenommen – einschließlich neuer Fähigkeiten zur Kompromittierung von macOS-Systemen.
Infektionsketten beginnen mit Phishing, bei dem gefälschte E-Mails bösartige Anhänge wie mit der Malware beladene Microsoft Office-Dokumente enthalten.
XLoader überwacht Software mit Fernzugriffsfunktionen, Protokollierung von Tastenanschlägen, der Möglichkeit, Screenshots zu erstellen und auch Datenexfiltration wie den Diebstahl von Kontoanmeldeinformationen durchzuführen. Darüber hinaus verfügt die Malware über ein umfangreiches Command-and-Control-Setup (C2) und nutzt fast 90.000 Domänen in der Netzwerkkommunikation – aber nur 1.300 sind echte C2-Beacons.
“Die anderen 88.000 Domains gehören zu legitimen Websites, an die die Malware ebenfalls bösartigen Datenverkehr sendet”, sagt CPR. “Dies stellt Sicherheitsanbieter vor das Dilemma, festzustellen, welche die echten C&C-Server sind, und legitime Websites nicht fälschlicherweise als bösartig zu identifizieren.”
XLoader wurde in Untergrundforen unter Lizenz für 59 bis 129 US-Dollar zur Verfügung gestellt, je nachdem, wie lange das Abonnement dauert und ob eine Windows- oder macOS-Version gewünscht wird.
CPR
CPR hat Verbindungen zwischen ng-Coder und dem Benutzer des xloader-Forums gefunden, von dem letzterer nur als Verkäufer angesehen wird.
Anscheinend haben potenzielle Bedrohungsakteure in 69 Ländern bisher Zugang zu beantragt die Malware, die von einem zentralen C2-Server verwaltet wird. Mehr als die Hälfte der bisher entdeckten XLoader-Opfer befindet sich in den USA.
„Obwohl es eine Lücke zwischen Windows- und macOS-Malware geben könnte, schließt sich die Lücke im Laufe der Zeit langsam“, kommentierte Yaniv Balmas, Head of Cyber Research bei CPR. “Die Wahrheit ist, dass MacOS-Malware immer größer und gefährlicher wird. Unsere jüngsten Ergebnisse sind ein perfektes Beispiel und bestätigen diesen wachsenden Trend.”
Frühere und verwandte Berichterstattung
Großbritannien und das Weiße Haus machen China für den Microsoft Exchange Server-Hack verantwortlich
Microsoft geht vor Gericht, um gegen betrügerische Homoglyph-Domains vorzugehen
Rapid7 kauft außerhalb des Umkreises Sicherheitsfirma IntSights für 335 Millionen US-Dollar
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Apple Security TV Data Management CXO Data Centers 