【安全资讯】XLoader窃密程序现已支持攻击macOS系统,售价仅49美元

猎影实验室 2021-07-23 06:03:28 1151人浏览

引言

研究人员发现,网络犯罪分子对一款针对Windows系统的著名恶意软件“Formbook”进行了编码修改,将其改造成了一款新型的信息窃取型恶意软件——XLoader。XLoader原本只感染Windows平台,但现在XLoader新变种不仅能够攻击Windows系统,还可以针对macOS系统执行信息窃取任务,窃取用户的浏览器、计算机登录密码等信息。XLoader目前在一个暗网地下论坛中,被不同的卖家以“僵尸网络加载服务” ( MaaS )的形式出售。


简况

研究人员对XLoader进行了逆向工程分析后发现,XLoader和热门窃密程序Formbook具有相同的可执行文件,因此确认了这两个恶意软件之间的联系。Formbook原本是一只键盘监听木马,于2016年首次出现,因为功能强大被用于发动大规模垃圾邮件感染全球企业。一项研究显示,Formbook是2020 年 6 月至 2021 年 6 月感染数第4多的恶意程序。但恶意程序作者忽然终止销售Formbook,不久后化身为XLoader重新出现。Formbook 和 XLoader 共享相同的代码库,具有相似的功能,包括窃取登录凭据、捕捉屏幕截图、记录键盘击键信息和执行恶意文件等。 XLoader的卖家也在暗网表示 Formbook 的开发人员对 XLoader 的创建做出了很大贡献,如下图:


Formbook 和 XLoader恶意软件的活动时间线如下图:



暗网流传的XLoader销售广告称,XLoader是“现有最优异的僵尸网络下载器,具备密码回复功能”,广告宣称XLoader能从多种应用程序取得存储的密码,包括所有版本的Chrome、Firefox、Internet Explorer (IE)、Microsoft Edge、Opera、Outlook、Foxmail及Thunder bird等。每个客户可以以每月49美元的价格租用macOS恶意软件版本,并可以访问卖家提供的服务器。通过维护一个中心化的命令和控制基础设施,攻击者将能够控制客户端使用恶意软件的方式。而XLoader的Windows版本则更贵,运营商给出的套餐价格为每月59美元和每季度129美元。XLoader的制造商还免费提供了一个Java绑定器,允许客户使用Mach-O和EXE二进制文件创建一个独立的JAR文件。研究人员对XLoader进行了长达六个月的跟踪分析,截止至6月1日,共发现了来自69个国家的请求 ,而且有超过一半的受害者位于美国,这表明XLoader在全球范围内的传播非常广泛。


总结

和Formbook相较,XLoader的技术更为成熟,且能同时感染Windows、macOS计算机,因此,XLoader可能会更流行。此外,它还以新兴的“Malware-as-a-Service”提供服务,具有集中管控的C&C基础架构。研究人员表示,XLoader的隐蔽性让普通的用户很难发现,且该恶意软件便宜又简单易操作,因此在恶意软件中脱颖而出。

失陷指标(IOC)11
XLoader 加载器 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。