Un malware molto popolare per il furto di informazioni riguardanti i sistemi Windows è stato modificato e rinominato in XLoader e ora può colpire anche i sistemi macOS Apple.
Nato dal malware Formbook per Windows, XLoader è emerso lo scorso febbraio ed è cresciuto in popolarità, pubblicizzato come una botnet multipiattaforma (Windows e macOS).
La connessione tra i due malware è stata confermata dopo che un ricercatore di sicurezza ha decodificato XLoader e ha scoperto che aveva lo stesso eseguibile di Formbook.
Il ricercatore ha spiegato che lo sviluppatore di Formbook ha contribuito alla creazione di XLoader e che i due malware avevano funzionalità simili:
- rubare credenziali di accesso;
- acquisire schermate;
- registrare sequenze di tasti;
- eseguire file dannosi.
Indice degli argomenti
XLoader: i dettagli del ladro di credenziali su macOS
I criminal hacker possono noleggiare sulla DarkNet la versione del malware per macOS per 49 dollari al mese e accedere a un server fornito dal venditore. Mantenendo un’infrastruttura di comando e controllo centralizzata, gli autori possono controllare il modo in cui i client utilizzano il malware.
La versione per Windows è più costosa in quanto il venditore richiede 59 dollari per una licenza di un mese e 129 per tre mesi.
Inoltre, i produttori di XLoader forniscono gratuitamente anche un raccoglitore Java che consente ai clienti di creare un file JAR autonomo con i binari Mach-O ed EXE utilizzati da macOS e Windows.
Tracciando l’attività di XLoader per sei mesi fino allo scorso primo giugno, i ricercatori di malware di Check Point hanno rilevato richieste da 69 paesi, indicando una diffusione significativa in tutto il mondo, con più della metà delle vittime residenti negli Stati Uniti.
Sebbene Formbook non sia più pubblicizzato nei forum presenti sulla DarkNet, continua comunque a essere una minaccia prevalente.
Ha fatto parte di almeno 1.000 campagne di malware negli ultimi tre anni e, secondo le tendenze del malware di AnyRun, il “ladro di informazioni” occupa il quarto posto negli ultimi dodici mesi, dopo Emotet.
Come mettere in sicurezza i propri account
Se la popolarità di Formbook è molto indicativa e incerta, è probabile che XLoader sia invece più diffusa dato che si rivolge ai due sistemi operativi più popolari utilizzati dai consumatori, sia per scopri privati che, soprattutto, aziendali.
I ricercatori di Check Point affermano che XLoader è abbastanza furtivo da rendere difficile l’individuazione da parte di un utente normale che non sia tecnicamente preparato a riconoscerlo.
Il consiglio è quello di utilizzare l’esecuzione automatica di macOS per controllare il nome utente nel sistema operativo e di esaminare la cartella LaunchAgents (raggiungibile al percorso /Users/[nome utente]/Library/LaunchAgents) ed eliminare le voci con nomi di file sospetti (nomi in genere composti da caratteri casuali).
Yaniv Balmas, Head of Cyber Research presso Check Point Software, afferma che XLoader è “molto più complesso e sofisticato rispetto ai suoi predecessori (tra cui, ovviamente, lo stesso Formbook)”.
La crescente popolarità di macOS lo ha esposto all’attenzione indesiderata dei criminali informatici, che ora vedono il sistema operativo di Cupertino come un obiettivo attraente.
I ricercatori, inoltre, ritengono che più famiglie di malware si adatteranno a questo malware e aggiungeranno macOS all’elenco dei sistemi operativi target di futuri attacchi.
