< p class="meta"> Di Charlie Osborne per Zero Day | 21 luglio 2021 — 10:00 GMT (11:00 BST) | Argomento: sicurezza
I ricercatori hanno individuato una variante di malware a basso costo, una volta focalizzata sui computer Windows, che è stata aggiornata per infettare i PC Mac.
Mercoledì, Check Point Research (CPR) ha dichiarato il malware, soprannominato “XLoader”, ha origine da una variante basata su Windows nota come Formbook.
Formbook una volta era disponibile nei forum sotterranei per soli $ 29 a settimana su abbonamento. Tuttavia, questo malware è stato ritirato dalla vendita circa quattro anni fa dallo sviluppatore, noto come ng-Coder, e non è ricomparso fino al 2020, mentre portava anche il nuovo nome XLoader.
Va notato, tuttavia, che sebbene le vendite siano terminate, Formbook rimane una minaccia prevalente in natura.
CPR ha analizzato il malware negli ultimi sei mesi. I ricercatori hanno trovato la stessa base di codice di Formbook in gioco, ma lo sviluppatore ha implementato modifiche sostanziali, incluse nuove funzionalità per compromettere i sistemi macOS.
Le catene di infezione iniziano attraverso il phishing, in cui le e-mail contraffatte contengono allegati dannosi come documenti di Microsoft Office armati carichi di malware.
XLoader è un software di monitoraggio con funzionalità di accesso remoto, registrazione dei tasti, la possibilità di acquisire schermate ed eseguire anche l'esfiltrazione di dati come il furto delle credenziali dell'account. Inoltre, il malware ha un'ampia configurazione di comando e controllo (C2), che utilizza quasi 90.000 domini nella comunicazione di rete, ma solo 1.300 sono veri e propri beacon C2.
“Gli altri 88.000 domini appartengono a siti legittimi a cui il malware invia anche traffico dannoso”, afferma CPR. “Questo presenta ai fornitori di sicurezza il dilemma di come determinare quali sono i veri server C&C e non identificare in modo falso positivo i siti legittimi come dannosi”.
XLoader è stato reso disponibile nei forum sotterranei su licenza per un prezzo compreso tra $ 59 e $ 129, a seconda del periodo di tempo dell'abbonamento e se desiderano una versione Windows o macOS.
RCP
CPR ha trovato collegamenti tra ng-Coder e l'utente del forum xloader, che si pensa sia solo un venditore.
Sembra che potenziali attori di minacce in 69 paesi, finora, abbiano richiesto l'accesso a il malware, che è gestito da un server C2 centralizzato. Oltre la metà delle vittime di XLoader rilevate finora si trovano negli Stati Uniti.
“Anche se potrebbe esserci un divario tra il malware Windows e macOS, il divario si sta lentamente riducendo nel tempo”, ha commentato Yaniv Balmas, responsabile della ricerca informatica presso CPR. “La verità è che il malware MacOS sta diventando sempre più grande e pericoloso. I nostri recenti risultati sono un esempio perfetto e confermano questa tendenza in crescita”.
Copertura precedente e correlata
Regno Unito e Casa Bianca incolpano la Cina per l'hacking di Microsoft Exchange Server
Microsoft si reca in tribunale per assumere domini omoglifici impostori
Rapid7 acquista fuori dal perimetro società di sicurezza IntSights per $ 335 milioni
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Apple Security TV Data Management CXO Data Center 