|
|
* Y5 F& P+ G5 t* I7 S" ^' aXLoader窃密程序发展成跨平台变种,也能感染macOS
1 D& _. n% t/ \. [3 g3 E
7 L- N C% ], N7 W8 h & M& ?/ @1 E( v# ?; ~
- E. N* ]; J5 A; s8 V4 b安全厂商CheckPoint发现,一只原只感染Windows平台的窃密程序现在发展成可跨Windows、macOS的版本,能窃取用户的浏览器、计算机登录密码等信息。
. a: c; m) e% H* i' @1 E- m0 o3 M# h6 K; t# X
一只名为XLoader的窃密程序现在当地下论坛上被不同人兜售。分析程序代码显示,它和近年一只热门窃密程序Formbook具有相同可执行文件。2016年出现的Formbook原本是一只键盘监听木马,但是后来被发现功能强大,被用于发动大规模垃圾邮件感染全球企业。一项研究显示,Formbook是过去12个月感染数第4多的恶意程序。但恶意程序作者却忽然无故终止销售Formbook,不久后它就化身为XLoader,去年10月在过去Formbook销售的论坛出现。
2 M" B0 q* Q* F8 E& ^5 ?* [. c& g. Y# w# T u
2 @8 @2 h& H# R& u; ]) X9 R
; @6 F" k, N2 p! ~
* q9 ~7 \$ _* i: }! K根据地下网站流传的XLoader销售广告,它是“现有最优异的僵尸网络下载器,具备密码回复功能”,广告宣称XLoader能从多种应用程序取得存储的密码,包括所有版本的Chrome、Firefox、Internet Explorer (IE)、Microsoft Edge、Opera、Outlook、Foxmail及Thunder bird等。
3 H3 |. ]8 T& R) {* n7 n
4 `( S& G' N' l; }; i4 ]+ r$ m: M
; M, y$ h0 r4 F* L5 i
( t, i7 t; M4 u! W) l$ k" | _+ |( e" [
Checkpoint指出,和Formbook相较,XLoader技术比起前一代的Formbook更为成熟,最大的不同是多了跨平台能力,能同时感染Windows、macOS计算机。此外,它还以新兴的“Malware-as-a-Service”提供服务,它具有集中管控的C&C基础架构,让背后的运营者能控制“客户”发送XLoader的作业。/ O1 p6 N0 h/ D
+ g: v# @& Q1 M0 S! |8 W3 h根据销售公告,“客户”有1或3月租用方案可选择,Windows和macOS版本分别以49到129美元代价提供服务。销售者还发布免费的Java binder,可创建集成Mach-O和exe二进制档的JAR压缩文件。' U1 J% y8 o- q+ }! O2 I" K9 [ X
! X- e' t) f7 i+ \+ I4 g
从去年10月开始到今年6月初,CheckPoint观察到Formbook/XLoader感染范围已多达69国,占了全世界超过1/3,其中以美国最多。# A3 O% w% A, ~: Z
: F: w+ p( W: h: g
研究人员指出,XLoader非常狡猾,一般用户很难发现到。他们也相信,随着macOS计算机的普及,未来会成为更多恶意程序的目标。
^# |6 I6 Y' Z. q- X8 W" V/ ~5 | E" X9 [1 O
他们建议macOS用户使用Autorun功能检查/Users/“username”/Library/LaunchAgents文件夹中,是否有可疑、随机命名的文件,并尽快删除。' h3 T; }% X% S
( w- E( D) T, t3 P* r |
|
发表于 2021-7-23 09:36:18
QQ好友和群
收藏
转播
分享
顶
踩