XLoader – один из наиболее распространённых инструментов, с помощью которого злоумышленники пытаются получить информацию из заражённых систем. Когда XLoader появился на macOS в 2021 году, он был назван четвертым по количеству используемых инструментов в том году.
В отличие от 2021 года, последний вариант XLoader не предназначен строго для среды выполнения Java, а значит, может быть гораздо более опасным. Последняя версия написана на языках программирования C и Objective C и, как отмечает SentinelOne, имеет подпись разработчика Apple.
По данным аналитиков по безопасности, последняя версия Xloader скрывается под приложением пакета Microsoft Office, используя вымышленное название OfficeNote.
Злоумышленники распространяют его через образ диска формата .DMG, подписанный разработчиком MAIT JAKHU (54YDV8NU9C). Несмотря на то, что Apple уже отозвала данную подпись, стандартное средство macOS для блокировки вредоносного ПО, на данный момент не имеет сигнатуры, способной предотвратить его выполнение.
После установки Xloader автоматически размещает свои компоненты в домашнем каталоге пользователя и запускает их, подключаясь к удалённым серверам. Затем создается скрытый каталог и «голое» приложение, а в библиотеку пользователя добавляется LaunchAgent. Xloader начинает извлекать сохранённую информацию из браузеров Chrome и Firefox, а также мониторит буфер обмена через штатный API Apple и передаёт полученные данные на удалённый сервер.
Исследователи отмечают, что стоимость использования Xloader для злоумышленников значительно выросла. Если раньше его можно было арендовать за $50 в месяц, то теперь цена выросла до $199. Это свидетельствует о том, что Xloader стал ещё более популярным среди киберпреступников, которые готовы заплатить большую сумму за такое мощное и эффективное вредоносное ПО.
Ещё по теме: