Una nueva variante de un malware para Apple macOS llamada Cargador XL ha surgido en la naturaleza, disfrazando sus características maliciosas bajo la apariencia de una aplicación de productividad de oficina llamada «OfficeNote».
«La nueva versión de Cargador XL está incluido dentro de una imagen de disco estándar de Apple con el nombre OfficeNote.dmg», dijeron los investigadores de seguridad de SentinelOne Dinesh Devadoss y Phil Stokes. dicho en un análisis del lunes. «La aplicación contenida en ella está firmada con la firma del desarrollador MAIT JAKHU (54YDV8NU9C)».
XLoader, detectado por primera vez en 2020, es consideró un sucesor de Formbook y es un ladrón de información y registrador de pulsaciones que se ofrece bajo el modelo de malware como servicio (MaaS). En julio de 2021 surgió una variante macOS del malware, distribuida como un programa Java en forma de archivo .JAR compilado.
«Dichos archivos requieren Java Runtime Environment y, por esa razón, el archivo .jar malicioso no se ejecutará en una instalación de macOS lista para usar, ya que Apple dejó de enviar JRE con las Mac hace más de una década», dijo la firma de ciberseguridad. anotado En el momento.
La última versión de XLoader soluciona esta limitación cambiando a lenguajes de programación como C y Objective C, con el archivo de imagen de disco firmado el 17 de julio de 2023. Desde entonces, Apple revocó la firma.
SentinelOne dijo que detectó múltiples envíos del artefacto en VirusTotal durante el mes de julio de 2023, lo que indica una campaña generalizada.
«Los anuncios en foros de crimeware ofrecen alquiler de la versión para Mac a 199 dólares al mes o 299 dólares a los 3 meses», dijeron los investigadores. «Curiosamente, esto es relativamente caro en comparación con las variantes de XLoader para Windows, que cuestan $59/mes y $129/3 meses».
Una vez ejecutado, OfficeNote genera un mensaje de error que dice «no se puede abrir porque no se puede encontrar el elemento original», pero, en realidad, instala un Agente de lanzamiento en segundo plano para la persistencia.
XLoader está diseñado para recopilar datos del portapapeles, así como información almacenada en los directorios asociados con navegadores web como Google Chrome y Mozilla Firefox. Safari, sin embargo, no es el objetivo.
Además de tomar medidas para evadir el análisis tanto manualmente como mediante soluciones automatizadas, el malware está configurado para ejecutar comandos de suspensión para retrasar su ejecución y evitar generar señales de alerta.
«XLoader sigue presentando una amenaza para los usuarios y empresas de macOS», concluyeron los investigadores.
«Esta última versión, disfrazada de una aplicación de productividad de oficina, muestra que los objetivos de interés son claramente los usuarios en un entorno de trabajo. El malware intenta robar secretos del navegador y del portapapeles que podrían usarse o venderse a otros actores de amenazas para un mayor compromiso».