< p class = "meta"> Af Charlie Osborne til Zero Day | 21. juli 2021 – 10:00 GMT (11:00 BST) | Emne: Sikkerhed
Forskere har set en billig malware-variant, der engang var fokuseret på Windows-maskiner, der er blevet opgraderet til at inficere Mac-pc'er.
Onsdag sagde Check Point Research (CPR) malware, der kaldes “XLoader”, stammer fra en Windows-baseret variant kendt som Formbook.
Formbook var engang tilgængelig i underjordiske fora for så lidt som $ 29 om ugen på abonnementsbasis. Imidlertid blev denne malware hentet fra salg for cirka fire år siden af udvikleren, kendt som ng-Coder, og dukkede ikke op igen før 2020 – mens den også bærer det nye navn XLoader.
Det skal dog bemærkes, at selvom salget sluttede, forbliver Formbook en fremherskende trussel i naturen.
CPR har analyseret malware i løbet af de sidste seks måneder. Forskerne har fundet den samme kodebase som Formbook er i spil, men væsentlige ændringer er blevet implementeret af udvikleren – herunder nye muligheder for at kompromittere macOS-systemer.
Infektionskæder begynder gennem phishing, hvor falske e-mails indeholder ondsindede vedhæftede filer, såsom våbnet Microsoft Office-dokumenter fyldt med malware.
XLoader overvåger software med fjernadgangsfunktioner, logning af tastetryk, muligheden for at tage skærmbilleder og udfører også dataefiltrering, såsom tyveri af kontooplysninger. Derudover har malware en omfattende kommando-og-kontrol (C2) opsætning, der bruger tæt på 90.000 domæner i netværkskommunikation – men kun 1.300 er ægte C2-beacons.
“De andre 88.000 domæner tilhører legitime websteder, som malware også sender ondsindet trafik til dem,” siger CPR. “Dette præsenterer sikkerhedsleverandører med dilemmaet om, hvordan man bestemmer, hvilke reelle C & amp; C-servere og ikke falsk-positivt identificerer legitime websteder som ondsindede.”
XLoader er gjort tilgængelig i underjordiske fora under licens for mellem $ 59 og $ 129 afhængigt af abonnementsperioden, og om de vil have en Windows- eller macOS-version.
CPR
CPR har fundet forbindelser mellem ng-Coder og xloader-forumbrugeren, hvis sidstnævnte menes at være en sælger.
Det ser ud til, at potentielle trusselaktører i 69 lande hidtil har anmodet om adgang til malware, der administreres af en centraliseret C2-server. Over halvdelen af XLoader-ofre, der hidtil er opdaget, er i USA.
“Selvom der kan være et hul mellem Windows og macOS malware, lukker kløften langsomt over tid,” kommenterede Yaniv Balmas, leder af cyberforskning ved CPR. “Sandheden er, at MacOS-malware bliver større og farligere. Vores nylige fund er et perfekt eksempel og bekræfter denne voksende tendens.”
Tidligere og beslægtet dækning
Storbritannien og Det Hvide Hus beskylder Kina for Microsoft Exchange Server hack
Microsoft går i retten for at påtage sig bedrageriske, homoglyph domæner
Rapid7 køber uden for perimeteren sikkerhedsfirma IntSights for 335 millioner dollars
Har du et tip? Kontakt sikkert via WhatsApp | Signal ved +447713 025 499 eller over på Keybase: charlie0
Relaterede emner:
Apple Security TV Data Management CXO Data Centers 