Pesquisadores de segurança divulgaram uma nova variante do malware XLoader que pode roubar informações confidenciais dos usuários do macOS da Apple e Windows da Microsoft.
O malware de plataforma cruzada identificado como "XLooader" está sendo distribuído na forma de malware-as-a-service (MaaS) em foruns da Dark Web como um serviço de botnet por apenas US $ 49, que pode ser implantado no Windows e dispositivos macOS.
O XLoader se originou de uma variante baseada no Windows chamada Formbook. Disponível por US $ 29 por semana, o Formbook apareceu pela primeira vez em fóruns de hackers em 2016.
Este vírus funciona como um "keylogger simples" e age coletando credenciais de navegadores da web, capturas de tela, monitorando e registrando o uso de teclas, além de executar arquivos maliciosos na máquina da vítima.
No entanto, os clientes perceberam imediatamente seu potencial como uma ferramenta universal para uso em amplas campanhas de spam que visam organizações em todo o mundo.
Embora esse malware tenha desaparecido em 2018 e não pode ser mais achado para comprar, ele reapareceu novamente em 2020 com um novo nome XLoader.
O recurso de coleta de credenciais do XLoader funciona para "quase cem aplicativos, incluindo navegadores, mensageiros, FTP e clientes de e-mail", disseram os pesquisadores da Check Point Research (CPR).
De acordo com o relatório da CPR, o XLoader, que toma emprestado o código-base do Formbook, foi anunciado para venda em um dos grupos undergrounds em 6 de fevereiro de 2020.
Desde então, ele cresceu em popularidade como plataforma cruzada (Windows e macOS) botnet sem dependências e inclui melhorias importantes, como a capacidade de comprometer os sistemas macOS.
A Check Point rastreou a atividade do XLoader entre 1 de dezembro de 2020 e 1 de junho de 2021 em 69 países e descobriu que mais da metade (53%) das vítimas infectadas com o malware estão nos EUA, incluindo usuários de Mac e Windows.
As vítimas são induzidas a baixar o XLoader por meio de esquemas típicos de phishing que usam e-mails falsos, que contêm documentos do Microsoft Office carregados com malware.
De acordo com a Apple, aproximadamente 200 milhões de usuários operavam macOS em 2018, o que significa que o malware é uma ameaça potencial para todos os usuários de Mac.
"Acho que há uma crença incorreta comum entre os usuários do macOS de que as plataformas da Apple são mais seguras do que outras plataformas mais amplamente utilizadas. Embora possa haver uma lacuna entre o malware do Windows e do MacOS, a lacuna está diminuindo lentamente com o tempo. A verdade é que o malware do MacOS está se tornando maior e mais perigoso", disse Yaniv Balmas, chefe de pesquisa cibernética da Check Point Software.
"Nossas descobertas recentes são um exemplo perfeito e confirmam essa tendência de crescimento. Com a popularidade crescente das plataformas MacOS, faz sentido que os criminosos cibernéticos mostrem mais interesse neste domínio e, pessoalmente, prevejo ver mais ameaças cibernéticas seguindo a família de malware Formbook. Eu pensaria duas vezes antes de abrir qualquer anexo de e-mails que recebo de remetentes que não conheço.", acrescentou.
A CPR recomenda que os usuários evitem visitar sites desprotegidos, evitem abrir anexos de e-mail suspeitos de remetentes desconhecidos e usem software de proteção de terceiros para manter seus Mac ou PC protegidos de malware.
"Uma vez que este malware é de natureza [furtiva], é provável que seja difícil para um olho 'não técnico' reconhecer se eles foram infectados", opinaram os analistas.
"Portanto, se você suspeitar que foi infectado, é aconselhável consultar um profissional de segurança ou usar ferramentas e proteções de terceiros projetadas para identificar, bloquear e até mesmo remover essa ameaça do seu computador.", acrescentou.
A empresa de segurança cibernética também recomenda o uso do recurso AutoRun do Windows Explorer. Veja abaixo como fazer isso. Nota: este método não é para os inexperientes.
- Verifique seu nome de usuário no sistema operacional;
- Vá para o diretório /Users/[nome de usuário]/Library/LaunchAgents;
- Verifique se há nomes de arquivos suspeitos neste diretório. Ou seja, nome de aparência aleatória, como por exemplo, "/Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist";
- Remova o arquivo suspeito.
Via: Check Point