Une nouvelle variante d’un malware Apple macOS appelée XLoader a fait surface dans la nature, masquant ses fonctionnalités malveillantes sous le couvert d’une application de productivité bureautique appelée « OfficeNote ».
« La nouvelle version de XLoader est regroupé dans une image disque Apple standard sous le nom OfficeNote.dmg », Dinesh Devadoss et Phil Stokes, chercheurs en sécurité chez SentinelOne. dit dans une analyse de lundi. « L’application qu’elle contient est signée avec la signature du développeur MAIT JAKHU (54YDV8NU9C). »
XLoader, détecté pour la première fois en 2020, est considéré un successeur de Formbook et est un voleur d’informations et un enregistreur de frappe proposé sous le modèle malware-as-a-service (MaaS). Une variante macOS du malware est apparue en juillet 2021, distribuée sous forme de programme Java sous la forme d’un fichier .JAR compilé.
« Ces fichiers nécessitent l’environnement d’exécution Java, et pour cette raison, le fichier .jar malveillant ne s’exécutera pas immédiatement sur une installation macOS, depuis qu’Apple a cessé de livrer JRE avec les Mac il y a plus de dix ans », a déclaré la société de cybersécurité. noté à l’époque.
La dernière itération de XLoader contourne cette limitation en passant à des langages de programmation tels que C et Objective C, avec le fichier image disque signé le 17 juillet 2023. Apple a depuis révoqué la signature.
SentinelOne a déclaré avoir détecté plusieurs soumissions de l’artefact sur VirusTotal tout au long du mois de juillet 2023, indiquant une campagne généralisée.
« Les publicités sur les forums sur les logiciels criminels proposent la version Mac en location à 199 $/mois ou 299 $/3 mois », ont indiqué les chercheurs. « Fait intéressant, cela est relativement cher par rapport aux variantes Windows de XLoader, qui coûtent 59 $/mois et 129 $/3 mois. »
Une fois exécuté, OfficeNote renvoie un message d’erreur indiquant qu’il « ne peut pas être ouvert car l’élément d’origine est introuvable », mais, en réalité, il installe un Agent de lancement en arrière-plan pour la persistance.
XLoader est conçu pour récolter les données du presse-papiers ainsi que les informations stockées dans les répertoires associés aux navigateurs Web tels que Google Chrome et Mozilla Firefox. Safari n’est cependant pas visé.
En plus de prendre des mesures pour échapper à l’analyse manuellement et par des solutions automatisées, le logiciel malveillant est configuré pour exécuter des commandes de veille afin de retarder son exécution et d’éviter de déclencher des signaux d’alarme.
« XLoader continue de présenter une menace pour les utilisateurs et les entreprises de macOS », ont conclu les chercheurs.
« Cette dernière itération se faisant passer pour une application de productivité bureautique montre que les cibles d’intérêt sont clairement les utilisateurs dans un environnement de travail. Le malware tente de voler les secrets du navigateur et du presse-papiers qui pourraient être utilisés ou vendus à d’autres acteurs malveillants pour une meilleure compromission. »