Apple macOS kötü amaçlı yazılımının yeni bir çeşidi adı verildi XLyükleyici kötü niyetli özelliklerini “OfficeNote” adlı bir ofis üretkenliği uygulaması kisvesi altında gizleyerek ortalıkta ortaya çıktı.
“Yeni versiyonu XLyükleyici SentinelOne güvenlik araştırmacıları Dinesh Devadoss ve Phil Stokes, OfficeNote.dmg adındaki standart bir Apple disk görüntüsünün içinde paketlendiğini söylüyor. söz konusu Pazartesi analizinde. “İçerdiği uygulama geliştirici imzası MAIT JAKHU (54YDV8NU9C) ile imzalanmıştır.”
İlk kez 2020’de tespit edilen XLoader dikkate alınan Formbook’un halefidir ve hizmet olarak kötü amaçlı yazılım (MaaS) modeli kapsamında sunulan bir bilgi hırsızı ve keylogger’dır. Kötü amaçlı yazılımın, derlenmiş bir .JAR dosyası biçiminde bir Java programı olarak dağıtılan bir macOS sürümü Temmuz 2021’de ortaya çıktı.
Siber güvenlik firması, “Bu tür dosyalar Java Çalışma Zamanı Ortamı gerektirir ve bu nedenle kötü amaçlı .jar dosyası, Apple’ın JRE’yi Mac’lerle birlikte göndermeyi on yıldan fazla bir süre önce durdurmasından bu yana, kutudan çıkan bir macOS kurulumunda yürütülmeyecektir.” kayıt edilmiş o zaman.
XLoader’ın en son yinelemesi, 17 Temmuz 2023’te imzalanan disk görüntü dosyasıyla C ve Objective C gibi programlama dillerine geçerek bu sınırlamayı aşıyor. Apple o zamandan beri imzayı iptal etti.
SentinelOne, Temmuz 2023 ayı boyunca VirusTotal’da eserin birden fazla gönderimini tespit ettiğini ve bunun yaygın bir kampanyaya işaret ettiğini söyledi.
Araştırmacılar, “Suç yazılımı forumlarındaki reklamlar, Mac sürümünü aylık 199 ABD Doları veya 3 aylık 299 ABD Doları fiyatla kiralama olanağı sunuyor” dedi. “İlginç bir şekilde, bu, XLoader’ın Windows sürümleriyle karşılaştırıldığında nispeten pahalı; bunlar aylık 59 ABD doları ve 3 ayda 129 ABD dolarıdır.”
OfficeNote yürütüldüğünde, “orijinal öğe bulunamadığı için açılamadığını” belirten bir hata mesajı verir, ancak gerçekte bir dosya yükler. Aracıyı Başlat kalıcılık için arka planda.
XLoader, pano verilerinin yanı sıra Google Chrome ve Mozilla Firefox gibi web tarayıcılarıyla ilişkili dizinlerde saklanan bilgileri toplamak için tasarlanmıştır. Ancak Safari hedeflenmemiştir.
Kötü amaçlı yazılım, hem manuel hem de otomatik çözümlerle analizden kaçmaya yönelik adımlar atmanın yanı sıra, yürütülmesini geciktirmek ve herhangi bir tehlike işaretinin ortaya çıkmasını önlemek için uyku komutlarını çalıştıracak şekilde yapılandırılmıştır.
Araştırmacılar, “XLoader, macOS kullanıcıları ve işletmeleri için tehdit oluşturmaya devam ediyor” sonucuna vardı.
“Bir ofis üretkenlik uygulaması kılığına giren bu en son yineleme, ilgilenilen hedeflerin açıkça çalışma ortamındaki kullanıcılar olduğunu gösteriyor. Kötü amaçlı yazılım, daha fazla risk almak için diğer tehdit aktörlerine kullanılabilecek veya satılabilecek tarayıcı ve pano sırlarını çalmaya çalışıyor.”
