Le malware XLoader vole les données des systèmes macOS et Windows

0

Un malware très populaire pour voler des informations sur les systèmes Windows a été modifié en une nouvelle souche appelée XLoader, qui peut également cibler les systèmes macOS.

XLoader est actuellement proposé sur un forum souterrain en tant que service de chargeur de botnet qui peut « récupérer » les mots de passe des navigateurs Web et de certains clients de messagerie (Chrome, Firefox, Opera, Edge, Internet Explorer, Outlook, Thunderbird, Foxmail).

xloader

Dérivé du voleur d’informations Formbook pour Windows, XLoader est apparu en Février dernier et a gagné en popularité, présenté comme un botnet multiplateforme (Windows et macOS) sans dépendances.

La connexion entre les deux logiciels malveillants a été confirmée après qu’un membre de la communauté ait effectué une ingénierie inverse sur XLoader et ait découvert qu’il avait le même exécutable que Formbook.

L’annonceur a expliqué que le développeur de Formbook a beaucoup contribué à la création de XLoader et que les deux logiciels malveillants avaient des fonctionnalités similaires (voler les identifiants de connexion, faire des captures d’écran, enregistrer les frappes et exécuter des fichiers malveillants).

xloader

Les clients peuvent louer la version du malware macOS pour 49 $ (par mois) et accéder à un serveur fourni par le vendeur. En conservant une infrastructure de commande et de contrôle centralisée, les auteurs peuvent contrôler la manière dont les clients utilisent le malware.

La version Windows est plus chère car le vendeur demande 59 $ pour une licence d’un mois et 129 $ pour trois mois.

Comme mentionné dans la publicité, les fabricants de XLoader fournissent également un classeur Java gratuitement, qui permet aux clients de créer un fichier JAR autonome avec les binaires Mach-O et EXE utilisés par macOS et Windows.

xloader

En suivant l’activité de XLoader sur 6 mois jusqu’au 1er juin, les chercheurs de logiciels malveillants de Check Point ont reçu des demandes de 69 pays, indiquant une propagation importante à travers le monde, plus de la moitié des victimes se trouvant aux États-Unis.

Bien que Formbook ne soit plus annoncé sur les forums clandestins, il continue d’être une menace répandue. Il faisait partie d’au moins 1 000 campagnes de logiciels malveillants au cours des trois dernières années et selon les tendances des logiciels malveillants d’AnyRun, le voleur d’informations occupe la quatrième place au cours des 12 derniers mois, après Emotet

Si la popularité de Formbook est une indication, XLoader est susceptible d’être plus répandu étant donné qu’il cible les deux systèmes d’exploitation les plus populaires utilisés par les consommateurs.

Les chercheurs de Check Point affirment que XLoader est suffisamment furtif pour qu’il soit difficile pour un utilisateur régulier de le repérer.

Ils recommandent d’utiliser l’exécution automatique(Autorun) de macOS pour vérifier le nom d’utilisateur dans le système d’exploitation et de rechercher dans le dossier LaunchAgents [/Users/[nom utilisateur]/Library/LaunchAgents] et de supprimer les entrées avec des noms de fichiers suspects (nom aléatoire).

Yaniv Balmas, responsable de la cyber-recherche chez Check Point Software, déclare que XLoader est « beaucoup plus mature et sophistiqué que ses prédécesseurs [c’est-à-dire Formbook].

La popularité croissante de macOS l’a exposé à l’attention indésirable des cybercriminels, qui considèrent désormais le système d’exploitation comme une cible attrayante.

« Bien qu’il puisse y avoir un écart entre les logiciels malveillants Windows et MacOS, l’écart se réduit lentement au fil du temps. La vérité est que les logiciels malveillants MacOS deviennent de plus en plus gros et dangereux »

 – Yaniv Balmas

Le chercheur pense que davantage de familles de logiciels malveillants s’adapteront et ajouteront macOS à la liste des systèmes d’exploitation pris en charge.

Si cet article vous a plu, n’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire