È ricomparso il noto malware Formbook con il nome di XLoader e con una spaventosa novità: oltre a colpire il sistema operativo Windows è stato modificato per danneggiare anche il sistema operativo di Apple.
Un malware specializzato in furto di informazioni sui sistemi Windows che dopo esser stato modificato e rinominato XLoader adesso è in grado fare la stessa cosa con sistemi operativi macOS della Apple.
Comparso per la prima volta lo scorso febbraio, col passare dei mesi la sua popolarità ed efficacia è cresciuta sempre di più tanto da diventare una botnet multipiattaforma.
Formbook era stato ideato come un semplice keylogger da utilizzare per:
– Trafugare credenziali di accesso ai browser
– Eseguire screenshot
– Rilevare i tasti premuti
– Scaricare file infetti da server remoti
Nel 2017 l’autore del malware ha deciso di interrompere le vendite ma qualcuno ha pensato bene di riutilizzarne il codice sorgente modificandolo in modo renderlo efficace anche su altri sistemi operativi, offrendolo in rete al prezzo di 49 dollari al mese.
Così è nato XLoader.
La connessione tra i due malware è stata confermata da alcuni ricercatori che hanno verificato il codice del malware XLoader. Infatti anche questo è in grado di:
– Rubare le credenziali di accesso
– Acquisiste le schermate
– Registrare e memorizzare le sequenze dei tasti
– Eseguire file infetti
La novità sta nel fatto che ora è disponibile sia per i sistemi operativi Windows per 59 dollari al mese, che per i MacOS per 49 dollari al mese.
Si avete letto bene, ormai questi “servizi” vengono venduti in rete come qualsiasi altro software con tanto di spiegazioni di come utilizzarlo perché i cyber criminali improvvisati sono ormai la maggioranza mentre i produttori si “accontentano” di vendere il servizio come se fosse un qualsiasi altro software.
I ricercatori di Check Point hanno dichiarato che XLoader sia stato modificato dallo stesso autore di Formbook e che sia più difficile da individuare e riconoscere, ma sembra che questa ipotesi non trovi molto riscontro, sebbene non possiamo neanche affermare il contrario, ma una cosa è certa, si tratta di un sistema molto complesso e artificioso rispetto al suo predecessore.
Con Xloader, i malware sono sbarcati nella sfera MacOS e sicuramente sentiremo sempre più parlare di nuovi malware dedicati a questi sistemi operativi.
Sophos già da tempo dedica a questi sistemi operativi, compreso Linux, i suoi prodotti perché anche non essendo oggetto di molti attacchi, non sono ne completamente immuni. Ciò che stiamo notando ci fa capire che non bisogna trascurare nessun tipo di dispositivo presente su una rete perché, per il solo fatto di esservi collegato, costituisce una superficie di attacco per questi codici modificati che possono essere eseguiti anche su sistemi operativi diversi da Windows.
Per chi non ha Sophos Endpoint, è possibile verificare la presenza di XLoader su macOS esaminando la cartella LaunchAgents presente all’interno di questo specifico percorso: /Users/nomeutente/Library/LaunchAgents ed eliminarlo manualmente.