Зловредният софтуер за $ 49 получава сериозен ъпгрейд, за да удари компютри с Windows и macOS

Изследователите са забелязали евтин вариант на зловреден софтуер, веднъж фокусиран върху машини с Windows, който е надстроен, за да зарази Mac PC.

В сряда, Проучване на Check Point (CPR) заяви, че зловредният софтуер, наречен “XLoader”, произхожда от базиран на Windows вариант, известен като Formbook.

Веднъж Formbook се предлагаше в подземни форуми само за $ 29 на седмица на базата на абонамент. Този зловреден софтуер обаче беше изтеглен от продажба преди около четири години от разработчика, известен като ng-Coder, и се появи отново през 2020 г., като същевременно носеше новото име XLoader.

Трябва да се отбележи обаче, че въпреки че продажбите приключват, Остава формуляр преобладаваща заплаха в дивата природа.

CPR анализира зловредния софтуер през последните шест месеца. Изследователите са открили същата кодова база като Formbook, но разработчикът е въвел съществени промени – включително нови възможности за компрометиране на macOS системи.

Веригите за заразяване започват чрез фишинг, при който фалшивите имейли съдържат злонамерени прикачени файлове като оръжия на документи на Microsoft Office, натоварени със зловредния софтуер.

XLoader наблюдава софтуер с възможности за отдалечен достъп, регистриране на натискане на клавиши, възможност за правене на екранни снимки и също така извършва дефилтрация на данни, като кражба на идентификационни данни за акаунт. В допълнение, зловредният софтуер има обширна настройка за управление и управление (C2), използвайки близо 90 000 домейни в мрежовата комуникация – но само 1300 са истинските C2 маяци.

„Останалите 88 000 домейни принадлежат на легитимни сайтове, които зловредният софтуер изпраща злонамерен трафик и към тях“, казва CPR. „Това поставя на доставчиците на сигурност дилемата как да определят кои са истинските C&C сървъри, а не да идентифицират фалшиво положителните легитимни сайтове като злонамерени.“

XLoader е предоставен в подземни форуми по лиценз за между $ 59 и $ 129, в зависимост от периода на абонамента и дали искат версия за Windows или macOS.

CPR

CPR е намерил връзки между ng-Coder и потребителя на форума на xloader, за който последният се смята, че е просто продавач.

Изглежда, че досега потенциалните участници в заплахата в 69 държави са поискали достъп до зловредния софтуер, който се управлява от централизиран сървър C2. Над половината от засегнатите до момента жертви на XLoader са в Съединените щати.

„Въпреки че може да има празнина между Windows и зловредния софтуер на macOS, пропастта бавно се затваря с течение на времето“, коментира Янив Балмас, ръководител на Cyber ​​Research в CPR. “Истината е, че зловредният софтуер на MacOS става все по-голям и по-опасен. Последните ни открития са отличен пример и потвърждават тази нарастваща тенденция.”


? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com