Хакер #305. Многошаговые SQL-инъекции
Эксперты компании Check Point рассказали о новой кроссплатформенной малвари XLoader, «подписка» на которую в даркнете стоит всего за 49 долларов. XLoader дает возможность собирать учетные данные, может работать как кейлоггер и запускать вредоносные файлы.
XLoader произошел от известного семейства малвари Formbook, которое в основном атаковало пользователей Windows, но исчезло из продажи в 2018 году. В 2020 году Formbook был переименован в XLoader.
XLoader впервые был замечен в феврале прошлого года и приобрел популярность, рекламируясь как кроссплатформенный (Windows и macOS) ботнет, не имеющий зависимостей. Связь между двумя вредоносными программами была установлена после того, как обнаружилось, что новый вредонос импользует тот же исполняемый файл, что и Formbook ранее. Тогда продавец малвари пояснил, что разработчик Formbook действительно внес большой вклад в создание XLoader. Из-за этого вредоносы имеют весьма схожую функциональность (кража учетных данных, создание снимков экрана, кейлоггинг и выполнение вредоносных файлов).
Изучая активность XLoader в последние шесть месяцев, аналитики Check Point обнаружили, что теперь он нацелен не только на пользователей Windows, но и macOS. «Арендовать» версию для macOS можно за 49 долларов в месяц, получив доступ к серверу, который предоставляет продавец. Сохраняя централизованную управляющую инфраструктуру, авторы малвари могут контролировать, каким образом их клиенты используют XLoader.
Версия для Windows стоит дороже, за нее продавец просит 59 долларов в месяц или 129 долларов за три месяца.
Как было сказано выше, исследователи отслеживали активность Xloader с 1 декабря 2020 по 1 июня 2021 года и за это время зафиксировали запросы на покупку XLoader от хакеров из 69 стран мира. При этом более половины (53%) жертв малвари проживают в США.
«XLoader — гораздо более сложная и совершенная программа, чем ее предшественники, и она поддерживает различные операционные системы, в частности macOS. Исторически угрозы для macOS не были широко распространены: как правило, они были из категории шпионского ПО и не причиняли слишком большой ущерб. Думаю, что среди пользователей macOS существует распространенное заблуждение, что ОС Apple более безопасна, чем другие. Раньше мы могли бы сказать, что между вредоносными программами для Windows и macOS был разрыв, но сейчас он постепенно сокращается. Вредоносное ПО для macOS становится все опаснее и распространеннее. Наши недавние исследования подтверждают эту тенденцию. Киберпреступники все больше интересуются платформой macOS — и лично я ожидаю очень скоро увидеть больше киберугроз. Семейство Formbook — только начало. Поэтому я бы дважды подумал, прежде чем открывать вложения из писем, которые я получаю от неизвестных отправителей», — говорит Янив Балмас, руководитель отдела киберисследований Check Point Software.