Η Check Point Research (CPR) παρατηρεί το νέο στέλεχος κακόβουλου λογισμικού με την ονομασία “XLoader”, το οποίο έχει εξελιχθεί για να “χτυπάει” και να κλέβει τις πληροφορίες των χρηστών MacOS.
Το “XLoader” είναι παράγωγο της διάσημης οικογένειας κακόβουλου λογισμικού “Formbook”, η οποία στόχευε κυρίως χρήστες των Windows, αλλά εξαφανίστηκε από την κυκλοφορία το 2018.
Το Formbook μετονομάστηκε σε XLoader το 2020.
Τους τελευταίους έξι μήνες, το CPR κατά τη μελέτη των δραστηριοτήτων του XLoader, αντιλήφθηκε ότι είναι παραγωγικό, στοχεύοντας όχι μόνο τα Windows, αλλά προς έκπληξη της και τους χρήστες Mac.
Οι χάκερς μπορούν με μόλις 49 δολάρια να αγοράσουν άδειες χρήσης του XLoader στο Darknet, οι οποίες τους εξοπλίζουν με τη δυνατότητα συλλογής log-in credentials και στιγμιότυπων οθόνης, την καταγραφή πληκτρολογήσεων και την εκτέλεση κακόβουλων αρχείων.
Τα θύματα εξαπατώνται για να κατεβάσουν το XLoader μέσω παραποιημένων email που περιέχουν κακόβουλα έγγραφα του Microsoft Office.
Αυτή είναι μια πιθανή απειλή για όλους τους χρήστες Mac. Το 2018, η Apple εκτίμησε ότι χρησιμοποιούνταν πάνω από 100 εκατ. Mac.
Διαδικασία μόλυνσης
Το XLoader εξαπλώνεται συνήθως μέσω ψεύτικων μηνυμάτων ηλεκτρονικού ταχυδρομείου που παρασύρουν τα θύματά τους να κατεβάσουν και να ανοίξουν ένα κακόβουλο αρχείο, συνήθως έγγραφα του Microsoft Office.
Συμβουλές πρόληψης
Για να αποφύγετε τη μόλυνση, η CPR συνιστά στους χρήστες Mac και Windows να:
- Μην ανοίγετε ύποπτα συνημμένα αρχεία
- Αποφύγετε να επισκέπτεστε ύποπτους ιστότοπους
- Να χρησιμοποιείτε λογισμικό προστασίας από τρίτους για τον εντοπισμό και την αποτροπή κακόβουλης συμπεριφοράς στον υπολογιστή σας.
Διαδικασία ανίχνευσης και αφαίρεσης
Δεδομένου ότι αυτό το κακόβουλο λογισμικό είναι κρυφό από τη φύση του, είναι πιθανό να είναι δύσκολο για ένα “μη τεχνικό” μάτι να αναγνωρίσει αν έχει μολυνθεί.
Ως εκ τούτου, εάν υποψιάζεστε ότι έχετε μολυνθεί, θα ήταν συνετό να συμβουλευτείτε έναν επαγγελματία ασφαλείας ή να χρησιμοποιήσετε εργαλεία και προστασίες τρίτων που έχουν σχεδιαστεί για να εντοπίζουν, να μπλοκάρουν και ακόμη και να αφαιρούν αυτή την απειλή από τον υπολογιστή σας.
Για περισσότερες τεχνικές λεπτομέρειες που θα σας βοηθήσουν, η CPR συνιστά να μεταβείτε στο Autorun και:
- Ελέγξτε το όνομα χρήστη σας στο λειτουργικό σύστημα
- Πηγαίνετε στο /Users/[username]/Library/LaunchAgents directory
- Ελέγξτε για ύποπτα ονόματα αρχείων σε αυτόν τον κατάλογο (το παρακάτω παράδειγμα είναι ένα τυχαίο όνομα)
/Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist - Αφαιρέστε το ύποπτο αρχεία
