Η Check Point Research (CPR) παρατηρεί το νέο στέλεχος κακόβουλου λογισμικού που έχει εξελιχθεί για να κλέβει τις πληροφορίες των χρηστών MacOS. Με την ονομασία “XLoader”, το νέο στέλεχος είναι παράγωγο της διάσημης οικογένειας κακόβουλου λογισμικού “Formbook”, η οποία στόχευε κυρίως χρήστες των Windows, αλλά εξαφανίστηκε από την κυκλοφορία το 2018. Το Formbook μετονομάστηκε σε XLoader το 2020. Τους τελευταίους έξι μήνες, το CPR κατά τη μελέτη των δραστηριοτήτων του XLoader, αντιλήφθηκε ότι είναι παραγωγικό, στοχεύοντας όχι μόνο τα Windows, αλλά προς έκπληξη της και τους χρήστες Mac.
Οι χάκερς μπορούν με μόλις 49 δολάρια να αγοράσουν άδειες χρήσης του XLoader στο Darknet, οι οποίες τους εξοπλίζουν με τη δυνατότητα συλλογής log-in credentials και στιγμιότυπων οθόνης, την καταγραφή πληκτρολογήσεων και την εκτέλεση κακόβουλων αρχείων. Τα θύματα εξαπατώνται για να κατεβάσουν το XLoader μέσω παραποιημένων email που περιέχουν κακόβουλα έγγραφα του Microsoft Office.
Αυτή είναι μια πιθανή απειλή για όλους τους χρήστες Mac. Το 2018, η Apple εκτίμησε ότι χρησιμοποιούνταν πάνω από 100 εκατ. Mac.
Τα Θύματα
Η CPR παρακολούθησε τη δραστηριότητα του Xloader μεταξύ 1ης Δεκεμβρίου 2020 και 1ης Ιουνίου 2021 και είδε αιτήσεις για αυτό τουλάχιστον σε 69 χώρες. Πάνω από το μισό (53%) των θυμάτων διαμένουν στις Ηνωμένες Πολιτείες. Η κατανομή των θυμάτων ανά χώρα παρουσιάζεται στο παρακάτω γράφημα:
Διαδικασία μόλυνσης
Το XLoader εξαπλώνεται συνήθως μέσω ψεύτικων μηνυμάτων ηλεκτρονικού ταχυδρομείου που παρασύρουν τα θύματά τους να κατεβάσουν και να ανοίξουν ένα κακόβουλο αρχείο, συνήθως έγγραφα του Microsoft Office.
Συμβουλές πρόληψης
Για να αποφύγετε τη μόλυνση, η CPR συνιστά στους χρήστες Mac και Windows να:
- Μην ανοίγετε ύποπτα συνημμένα αρχεία
- Αποφύγετε να επισκέπτεστε ύποπτους ιστότοπους
- Να χρησιμοποιούν λογισμικό προστασίας από τρίτους για τον εντοπισμό και την αποτροπή κακόβουλης συμπεριφοράς στον υπολογιστή τους.
Διαδικασία ανίχνευσης και αφαίρεσης
Δεδομένου ότι αυτό το κακόβουλο λογισμικό είναι κρυφό από τη φύση του, είναι πιθανό να είναι δύσκολο για ένα “μη τεχνικό” μάτι να αναγνωρίσει αν έχει μολυνθεί. Ως εκ τούτου, εάν υποψιάζεστε ότι έχετε μολυνθεί, θα ήταν συνετό να συμβουλευτείτε έναν επαγγελματία ασφαλείας ή να χρησιμοποιήσετε εργαλεία και προστασίες τρίτων που έχουν σχεδιαστεί για να εντοπίζουν, να μπλοκάρουν και ακόμη και να αφαιρούν αυτή την απειλή από τον υπολογιστή σας. Για περισσότερες τεχνικές λεπτομέρειες που θα σας βοηθήσουν, η CPR συνιστά να μεταβείτε στο Autorun και:
1. Ελέγξτε το όνομα χρήστη σας στο λειτουργικό σύστημα
2. Πηγαίνετε στο /Users/[username]/Library/LaunchAgents directory
3. Ελέγξτε για ύποπτα ονόματα αρχείων σε αυτόν τον κατάλογο (το παρακάτω παράδειγμα είναι ένα τυχαίο όνομα)
/Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist
4. Αφαιρέστε το ύποπτο αρχείο
Σχόλιο: Yaniv Balmas, Head of Cyber Research, Check Point Software:
“Στο πλαίσιο της καταγραφής του εγκλήματος στον κυβερνοχώρο, παρατηρήσαμε ενδιαφέρουσες εξελίξεις από τη γνωστή οικογένεια κακόβουλου λογισμικού ‘Formbook’. Βλέπουμε ένα νέο στέλεχος κακόβουλου λογισμικού που προέρχεται από το αρχικό κακόβουλο λογισμικό Formbook. Με την ονομασία ‘XLoader’, αυτό το κακόβουλο λογισμικό είναι πολύ πιο ώριμο και εξελιγμένο από τους προκατόχους του, υποστηρίζοντας διαφορετικά λειτουργικά συστήματα, συγκεκριμένα υπολογιστές MacOS. Ιστορικά, το κακόβουλο λογισμικό MacOS δεν ήταν τόσο συνηθισμένο. Συνήθως εμπίπτουν στην κατηγορία του ‘spyware’, χωρίς να προκαλούν μεγάλη ζημιά. Νομίζω ότι υπάρχει μια κοινή λανθασμένη πεποίθηση στους χρήστες MacOS ότι οι πλατφόρμες της Apple είναι πιο ασφαλείς από άλλες πιο ευρέως χρησιμοποιούμενες πλατφόρμες. Ενώ μπορεί να υπάρχει ένα χάσμα μεταξύ του κακόβουλου λογισμικού των Windows και του MacOS, το χάσμα αυτό κλείνει σιγά-σιγά με την πάροδο του χρόνου. Η αλήθεια είναι ότι το κακόβουλο λογισμικό MacOS γίνεται όλο και μεγαλύτερο και πιο επικίνδυνο. Τα πρόσφατα ευρήματά μας αποτελούν ένα τέλειο παράδειγμα και επιβεβαιώνουν αυτή την αυξανόμενη τάση. Με την αυξανόμενη δημοτικότητα των πλατφορμών MacOS, είναι λογικό οι εγκληματίες του κυβερνοχώρου να δείχνουν μεγαλύτερο ενδιαφέρον για αυτόν τον τομέα και προσωπικά αναμένω να δω περισσότερες απειλές στον κυβερνοχώρο που ακολουθούν την οικογένεια κακόβουλου λογισμικού Formbook. Θα το σκεφτόμουν δύο φορές πριν ανοίξω συνημμένα αρχεία από μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνω από αποστολείς που δεν γνωρίζω”.