|
发表于 2021-7-23
|
|阅读模式
4 |, S3 w: f' M# x7 C
XLoader窃密程序发展成跨平台变种,也能感染macOS
. O) s6 O, ?& d" [ w* j' k0 J2 K& I0 X0 ]: H/ J& a( i5 ], c7 ]
2 x9 Y, f+ `1 K; t1 A' e
6 c9 m9 Z9 i" H6 @
安全厂商CheckPoint发现,一只原只感染Windows平台的窃密程序现在发展成可跨Windows、macOS的版本,能窃取用户的浏览器、计算机登录密码等信息。
$ z! v! ^) \$ I( r+ X# |1 \& p
& z5 L1 Y9 O6 ]9 C3 d0 J. W8 i一只名为XLoader的窃密程序现在当地下论坛上被不同人兜售。分析程序代码显示,它和近年一只热门窃密程序Formbook具有相同可执行文件。2016年出现的Formbook原本是一只键盘监听木马,但是后来被发现功能强大,被用于发动大规模垃圾邮件感染全球企业。一项研究显示,Formbook是过去12个月感染数第4多的恶意程序。但恶意程序作者却忽然无故终止销售Formbook,不久后它就化身为XLoader,去年10月在过去Formbook销售的论坛出现。2 e7 Y) H$ a- n, g0 W4 b i) U* T& S2 T
1 ]& H1 y: I+ H4 I8 n. F- G: X3 P3 A
: N# V# M0 w3 p0 Q2 g& u* o4 L
7 I8 O# J3 L3 v6 a* l( P: ]5 t* ?
根据地下网站流传的XLoader销售广告,它是“现有最优异的僵尸网络下载器,具备密码回复功能”,广告宣称XLoader能从多种应用程序取得存储的密码,包括所有版本的Chrome、Firefox、Internet Explorer (IE)、Microsoft Edge、Opera、Outlook、Foxmail及Thunder bird等。
, f$ y% I' Z F/ b: n! p3 r; ~7 ~* J$ k6 v3 A: p7 \- j
, d0 h1 U5 p0 Z; k; h
) O) a; A# E- d
! f' n0 X6 r. ^1 C. YCheckpoint指出,和Formbook相较,XLoader技术比起前一代的Formbook更为成熟,最大的不同是多了跨平台能力,能同时感染Windows、macOS计算机。此外,它还以新兴的“Malware-as-a-Service”提供服务,它具有集中管控的C&C基础架构,让背后的运营者能控制“客户”发送XLoader的作业。6 j! l% R) N+ c a$ e8 a
# s0 v) b# o, e/ A5 i, K( W% R) U根据销售公告,“客户”有1或3月租用方案可选择,Windows和macOS版本分别以49到129美元代价提供服务。销售者还发布免费的Java binder,可创建集成Mach-O和exe二进制档的JAR压缩文件。* E; ?, {6 P+ x* ]1 J
. o% @7 p: q) S& H* O
从去年10月开始到今年6月初,CheckPoint观察到Formbook/XLoader感染范围已多达69国,占了全世界超过1/3,其中以美国最多。; w# K, l$ D( H! G
$ F& G9 a2 M) j! U' h7 A& E9 ]
研究人员指出,XLoader非常狡猾,一般用户很难发现到。他们也相信,随着macOS计算机的普及,未来会成为更多恶意程序的目标。
2 B2 f5 j" c$ C7 A. o z8 J* D2 r# Y( p
他们建议macOS用户使用Autorun功能检查/Users/“username”/Library/LaunchAgents文件夹中,是否有可疑、随机命名的文件,并尽快删除。- x7 s8 y i* [
5 L) K0 K( W# H2 s0 J1 | |
|