【安全资讯】XLoader窃密程序现已支持攻击macOS系统，售价仅49美元

研究人员发现，网络犯罪分子对一款针对Windows系统的著名恶意软件“Formbook”进行了编码修改，将其改造成了一款新型的信息窃取型恶意软件——XLoader。XLoader原本只感染Windows平台，但现在XLoader新变种不仅能够攻击Windows系统，还可以针对macOS系统执行信息窃取任务，窃取用户的浏览器、计算机登录密码等信息。XLoader目前在一个暗网地下论坛中，被不同的卖家以“僵尸网络加载服务” ( MaaS )的形式出售。

简况

研究人员对XLoader进行了逆向工程分析后发现，XLoader和热门窃密程序Formbook具有相同的可执行文件，因此确认了这两个恶意软件之间的联系。Formbook原本是一只键盘监听木马，于2016年首次出现，因为功能强大被用于发动大规模垃圾邮件感染全球企业。一项研究显示，Formbook是2020 年 6 月至 2021 年 6 月感染数第4多的恶意程序。但恶意程序作者忽然终止销售Formbook，不久后化身为XLoader重新出现。Formbook 和 XLoader 共享相同的代码库，具有相似的功能，包括窃取登录凭据、捕捉屏幕截图、记录键盘击键信息和执行恶意文件等。 XLoader的卖家也在暗网表示 Formbook 的开发人员对 XLoader 的创建做出了很大贡献，如下图：

Formbook 和 XLoader恶意软件的活动时间线如下图：

暗网流传的XLoader销售广告称，XLoader是“现有最优异的僵尸网络下载器，具备密码回复功能”，广告宣称XLoader能从多种应用程序取得存储的密码，包括所有版本的Chrome、Firefox、Internet Explorer (IE)、Microsoft Edge、Opera、Outlook、Foxmail及Thunder bird等。每个客户可以以每月49美元的价格租用macOS恶意软件版本，并可以访问卖家提供的服务器。通过维护一个中心化的命令和控制基础设施，攻击者将能够控制客户端使用恶意软件的方式。而XLoader的Windows版本则更贵，运营商给出的套餐价格为每月59美元和每季度129美元。XLoader的制造商还免费提供了一个Java绑定器，允许客户使用Mach-O和EXE二进制文件创建一个独立的JAR文件。研究人员对XLoader进行了长达六个月的跟踪分析，截止至6月1日，共发现了来自69个国家的请求 ，而且有超过一半的受害者位于美国，这表明XLoader在全球范围内的传播非常广泛。

总结

和Formbook相较，XLoader的技术更为成熟，且能同时感染Windows、macOS计算机，因此，XLoader可能会更流行。此外，它还以新兴的“Malware-as-a-Service”提供服务，具有集中管控的C&C基础架构。研究人员表示，XLoader的隐蔽性让普通的用户很难发现，且该恶意软件便宜又简单易操作，因此在恶意软件中脱颖而出。