< p class = "meta"> Av Charlie Osborne for Zero Day | 21. juli 2021 – 10:00 GMT (11:00 BST) | Tema: Sikkerhet
Forskere har oppdaget en billig malware-variant, en gang fokusert på Windows-maskiner, som har blitt oppgradert for å infisere Mac-PCer.
Onsdag sa Check Point Research (CPR) skadelig programvare, kalt “XLoader”, stammer fra en Windows-basert variant kjent som Formbook.
Formbook var en gang tilgjengelig i underjordiske fora for så lite som $ 29 i uken på abonnementsbasis. Imidlertid ble denne skadelige programvaren hentet fra salg for omtrent fire år siden av utvikleren, kjent som ng-Coder, og dukket ikke opp igjen før 2020 – mens den også hadde det nye navnet XLoader.
Det skal imidlertid bemerkes at selv om salget endte, forblir Formbook en utbredt trussel i naturen.
HLR har analysert skadelig programvare de siste seks månedene. Forskerne har funnet den samme kodebasen som Formbook er i spill, men vesentlige endringer har blitt implementert av utvikleren – inkludert nye muligheter for å kompromittere macOS-systemer.
Infeksjonskjeder begynner med phishing, der falske e-poster inneholder ondsinnede vedlegg som våpnete Microsoft Office-dokumenter lastet med skadelig programvare.
XLoader overvåker programvare med muligheter for ekstern tilgang, logging av tastetrykk, muligheten til å ta skjermbilder og også utføre dataeksfiltrering, for eksempel tyveri av kontolegitimasjon. I tillegg har skadelig programvare et omfattende kommando-og-kontroll (C2) oppsett, og bruker nær 90.000 domener i nettverkskommunikasjon – men bare 1300 er ekte C2-fyrtårn.
“De øvrige 88 000 domenene tilhører legitime nettsteder skadelig programvare også sender skadelig trafikk til dem,” sier CPR. “Dette gir sikkerhetsleverandører dilemmaet med hvordan de skal finne ut hvilke som er de virkelige C & amp; C-serverne, og ikke legitimt identifisere legitime nettsteder som ondsinnede.”
XLoader er gjort tilgjengelig i underjordiske fora under lisens for mellom $ 59 og $ 129, avhengig av tidsperioden for abonnementet og om de vil ha en Windows- eller macOS-versjon.
CPR
HLR har funnet koblinger mellom ng-Coder og xloader-forumbrukeren, den siste er antatt å bare være en selger.
Det ser ut til at potensielle trusselaktører i 69 land, så langt, har bedt om tilgang til skadelig programvare, som administreres av en sentralisert C2-server. Over halvparten av XLoader-ofrene som hittil er oppdaget, er i USA.
“Selv om det kan være et gap mellom skadelig programvare for Windows og MacOS, lukkes gapet sakte over tid,” kommenterte Yaniv Balmas, leder for cyberforskning ved HLR. “Sannheten er at MacOS malware blir større og farligere. Våre nylige funn er et perfekt eksempel og bekrefter denne økende trenden.”
Tidligere og relatert dekning
Storbritannia og Det hvite hus beskylder Kina for Microsoft Exchange Server-hack – Microsoft går til retten for å ta imot bedrager, homoglyph-domener – Rapid7 kjøper utenfor perimeteren sikkerhetsfirma IntSights for 335 millioner dollar
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Apple Security TV Data Management CXO Data Centers 