高楓

網(wǎng)絡犯罪分子對一款針對Windows系統(tǒng)的著名惡意軟件進行了編碼修改，并將其改造成一款新型的信息竊取型惡意軟件——XLoader。XLoader變種不僅能夠攻擊Windows系統(tǒng)，還可以針對MacOS系統(tǒng)執(zhí)行信息竊取任務。

XLoader目前在一個暗網(wǎng)地下論壇中以僵尸網(wǎng)絡加載服務（MaaS）的形式提供給網(wǎng)絡犯罪分子使用。由于該惡意軟件不僅便宜，還很簡單，傻瓜模式的操作使其在競爭惡意軟件中脫穎而出。

從不起眼的鍵盤記錄器到炙手可熱的惡意軟件

XLoader的前身是針對Windows系統(tǒng)的信息竊取型惡意軟件——Formbook，這款惡意軟件從2020年2月份開始一直活躍至今，它也被認為是一款無依賴的跨平臺僵尸網(wǎng)絡，并且同時支持Windows系統(tǒng)和MacOS系統(tǒng)。

安全社區(qū)的一名研究人員對XLoader進行了逆向工程分析，發(fā)現(xiàn)它與Formbook具有相同的可執(zhí)行文件后，確認了這2個惡意軟件之間的聯(lián)系。

地下論壇的XLoader惡意軟件推廣人員解釋稱，F(xiàn)ormbook的開發(fā)人員為創(chuàng)建XLoader做出了很大貢獻，這2個惡意軟件具有相似的功能，其中包括竊取登錄憑據(jù)、捕捉屏幕截圖、記錄鍵盤擊鍵信息和執(zhí)行惡意文件等。

據(jù)了解，每一個客戶可以以49美元/月的價格租用MacOS惡意軟件版本，并可以訪問賣家提供的服務器。通過維護一個中心化的命令和控制基礎設施，攻擊者將能夠控制客戶端使用惡意軟件的方式。

而XLoader的Windows版本則更貴，運營商給出的套餐價格為59美元/月和129美元3個月。

正如地下論壇廣告中所提到的那樣，XLoader的制造商還免費提供了一個Java綁定器，允許客戶使用Mach-O和.exe二進制文件創(chuàng)建一個獨立的JAR文件。

全球范圍內(nèi)傳播，低成本的“威脅”

CheckPoint的惡意軟件研究人員對XLoader進行了長達6個月的跟蹤分析，截止至2021年6月1日，總共發(fā)現(xiàn)了來自69個國家的請求，表明XLoader在全球范圍內(nèi)的傳播非常廣泛，而且有超過一半的受害者位于美國地區(qū)。

雖然Formbook已經(jīng)不在地下論壇打廣告了，但它所帶來的威脅仍不容小覷。在過去的3年中，它至少參與了1000個惡意軟件的攻擊活動，根據(jù)AnyRun提供的惡意軟件趨勢分析報告，這款信息竊取型惡意軟件在過去的12個月內(nèi)排名第4，影響僅次于Emotet。

如果說Formbook的流行是一個起點的話，那么XLoader可能會更流行，因為它針對的是消費者使用的2種最流行的操作系統(tǒng)。

CheckPoint的研究人員表示，XLoader的隱蔽性足以讓普通的非技術(shù)用戶很難發(fā)現(xiàn)它。

安全建議

MacOS的日益普及使它越來越受到網(wǎng)絡犯罪分子的關(guān)注，而MacOS目前也已經(jīng)成為網(wǎng)絡犯罪分子眼中極具吸引力的目標之一。

雖然Windows和MacOS的惡意軟件之間可能存在差距，但隨著時間的推移，這種差距正在慢慢縮小。研究人員也認為，將來會有越來越多針對MacOS系統(tǒng)的惡意軟件誕生，而現(xiàn)有的惡意軟件也會逐步將MacOS系統(tǒng)添加到自己支持的操作系統(tǒng)列表中。

最后，研究人員建議廣大用戶使用MacOS的Autorun檢查操作系統(tǒng)中的用戶名，并查看LaunchAgents目錄[/Users/[usemame]/Library/LaunchAgents]，然后刪除包含可疑文件名的內(nèi)容。