< p class = "meta"> Av Charlie Osborne för Zero Day | 21 juli 2021 – 10:00 GMT (11:00 BST) | Ämne: Säkerhet
Forskare har upptäckt en billig malware-variant, en gång fokuserad på Windows-maskiner, som har uppgraderats för att infektera Mac-datorer.
På onsdagen sa Check Point Research (CPR) skadlig programvara, som kallas “XLoader”, har sitt ursprung i en Windows-baserad variant som kallas Formbook.
Formbook var en gång tillgängligt i underjordiska forum för så lite som $ 29 per vecka på prenumerationsbasis. Men den här skadliga programvaran drogs från försäljning för ungefär fyra år sedan av utvecklaren, känd som ng-Coder, och dök inte upp igen förrän 2020 – samtidigt som den bär det nya namnet XLoader.
Det bör dock noteras att även om försäljningen slutade är Formbook fortfarande ett vanligt hot i naturen.
HLR har analyserat skadlig programvara under de senaste sex månaderna. Forskarna har hittat samma kodbas som Formbook är i spel, men betydande förändringar har implementerats av utvecklaren – inklusive nya möjligheter för att kompromissa med macOS-system.
Infektionskedjor börjar med nätfiske, där falska e-postmeddelanden innehåller skadliga bilagor som vapeniserade Microsoft Office-dokument laddade med skadlig kod.
XLoader övervakar programvara med fjärråtkomstfunktioner, loggning av tangenttryckningar, möjligheten att ta skärmdumpar och även utföra dataexfiltrering, såsom stöld av kontouppgifter. Dessutom har skadlig programvara en omfattande kommando-och-kontroll-inställning (C2), som använder nästan 90 000 domäner i nätverkskommunikation – men endast 1 300 är riktiga C2-fyrar.
“De andra 88 000 domänerna tillhör legitima webbplatser som skadlig kod skickar skadlig trafik till dem också”, säger CPR. “Detta ger säkerhetsleverantörer ett dilemma om hur man bestämmer vilka som är de verkliga C & amp; C-servrarna och inte felaktigt identifierar legitima webbplatser som skadliga.”
XLoader har gjorts tillgängligt i underjordiska forum under licens för mellan $ 59 och $ 129, beroende på tidsperioden för prenumerationen och om de vill ha en Windows- eller macOS-version.
CPR
HLR har hittat länkar mellan ng-Coder och xloader-forumanvändaren, av vilken den senare bara anses vara en säljare.
Det verkar som om potentiella hotaktörer i 69 länder hittills har begärt tillgång till skadlig programvara, som hanteras av en central C2-server. Över hälften av XLoader-offren som hittills upptäckts är i USA.
“Även om det kan finnas en klyfta mellan Windows och MacOS-skadlig programvara, går klyftan långsamt över tid”, kommenterade Yaniv Balmas, chef för cyberforskning vid HLR. “Sanningen är att skadlig programvara från MacOS blir större och farligare. Våra senaste resultat är ett perfekt exempel och bekräftar denna växande trend.”
Tidigare och relaterad täckning
Storbritannien och Vita huset anklagar Kina för Microsoft Exchange Server-hack – Microsoft går till domstol för att ta på sig bedragare, homoglyph-domäner – Rapid7 köper utanför gränsen säkerhetsföretaget IntSights för 335 miljoner dollar
Har du ett tips? Ta kontakt säkert via WhatsApp | Signal vid +447713 025 499, eller över på Keybase: charlie0
Relaterade ämnen:
Apple Security TV Data Management CXO Data Centers 