มัลแวร์บน Apple macOS เวอร์ชันใหม่ที่เรียกว่า XLoader ได้ปรากฏตัวขึ้นโดยการปลอมแปลงฟีเจอร์ที่เป็นอันตรายภายใต้หน้ากากของแอปเพิ่มประสิทธิภาพการทำงานในสำนักงานที่เรียกว่า "OfficeNote"
นักวิจัยด้านความปลอดภัยจาก SentinelOne ชื่อ Dinesh Devadoss และ Phil Stokes ได้ระบุในรายงานการวิเคราะห์เมื่อวันจันทร์ที่ผ่านมา (21 ส.ค. 2023) ว่า "เวอร์ชันใหม่ของ XLoader ถูกรวมอยู่ในไฟล์ Apple disk image ด้วยชื่อ OfficeNote.dmg" โดยแอปพลิเคชันนี้มี signature จากนักพัฒนาชื่อ MAIT JAKHU (54YDV8NU9C)
XLoader ถูกพบครั้งแรกในปี 2020 ถือว่าเป็นตัวสืบทอดของ Formbook information stealer และ keylogger ภายใต้การให้บริการแบบ malware-as-a-service (MaaS)
โดยมัลแวร์สำหรับ macOS ถูกพบในเดือนกรกฎาคม 2021 และถูกแพร่กระจายในรูปแบบโปรแกรม Java ในรูปแบบไฟล์ .JAR ที่ถูก compiled แล้ว
บริษัทความปลอดภัยทางไซเบอร์ได้ระบุไว้ว่า "ไฟล์เหล่านี้ต้องใช้ Java Runtime Environment และเพราะเหตุนี้ไฟล์ .jar ที่เป็นอันตรายจะไม่ทำงานบนการติดตั้ง macOS โดยอัตโนมัติ เนื่องจาก Apple ได้หยุดการใช้ JRE ใน Mac ไปแล้ว "
การทำงานล่าสุดของ XLoader ได้หลีกเลี่ยงข้อจำกัดเหล่านี้โดยเปลี่ยนไปใช้โปรแกรมภาษาอื่นเช่น C และ Objective C พร้อมกับไฟล์ดิสก์อิมเมจที่ได้รับการ signed เมื่อวันที่ 17 กรกฎาคม 2023 ต่อมา Apple ได้เพิกถอน signature นี้แล้ว
SentinelOne ได้รายงานว่าพบการส่งข้อมูลประเภทนี้หลายรายการบน VirusTotal ตลอดเดือนกรกฎาคม 2023 ซึ่งแสดงให้เห็นการแพร่หลายของแคมเปญการโจมตีนี้
นักวิจัยได้ระบุว่า "โฆษณาบนฟอรัมของ crimeware มีการเสนอเวอร์ชันสำหรับ Mac ให้เช่าในราคา $199/เดือน หรือ $299/3 เดือน" ที่น่าสนใจคือมีราคาที่สูง เมื่อเปรียบเทียบกับรุ่นของ Windows ของ XLoader ซึ่งมีราคา $59/เดือน และ $129/3 เดือน
เมื่อถูกเรียกใช้งาน OfficeNote จะแสดงข้อความ error ที่บอกว่า "ไม่สามารถเปิดได้เนื่องจากไม่พบไฟล์ต้นฉบับ" เพื่อเบี่ยงเบนความสนใจ แต่ในความเป็นจริงแล้ว มันจะแอบติดตั้ง Launch Agent เพื่อให้สามารถแฝงตัวอยู่ในระบบต่อไป
XLoader ถูกออกแบบให้สามารถเก็บรวบรวมข้อมูลใน clipboard และข้อมูลที่เก็บไว้ใน directories ที่เกี่ยวข้องกับเว็บเบราว์เซอร์ เช่น Google Chrome และ Mozilla Firefox โดย Safari จะไม่ตกเป็นเป้าหมาย
นอกจากนี้ยังมีการดำเนินการเพื่อหลบเลี่ยงการวิเคราะห์ทั้ง manually และ automated เช่นเดียวกัน โดยมัลแวร์ได้ถูกกำหนดค่าให้ทำการเรียกใช้คำสั่ง sleep เพื่อ delay การทำงานของมัน และหลีกเลี่ยงการกระทำที่ทำให้เกิดการแจ้งเตือน
นักวิจัยสรุปว่า "XLoader ยังคงเป็นอันตรายต่อผู้ใช้ macOS และอันตรายต่อธุรกิจ"
"ในรุ่นล่าสุด XLoader จะปลอมแปลงเป็นแอปพลิเคชันที่ในการเพิ่มประสิทธิภาพในที่ทำงาน แสดงให้เห็นว่ามุ่งเป้าหมายที่เป็นผู้ใช้ในการทำงาน โดยมัลแวร์พยายามขโมยข้อมูลที่สำคัญบนเบราว์เซอร์ และ clipboard ที่อาจถูกใช้ หรือขายให้กับผู้โจมตีอื่น ๆ เพื่อการโจมตีเพิ่มเติม"
ที่มา : https://thehackernews.com/2023/08/new-variant-of-xloader-macos-malware.html
You must be logged in to post a comment.