CheckPoint研判XLoader前身,是過去一年來感染數量前五大的惡意程式Formbook。和Formbook相較,XLoader技術比起前一代的Formbook更為成熟,最大的不同是多了跨平臺能力,能同時感染Windows、macOS電腦。此外,它還以新興的「Malware-as-a-Service」提供服務,它具有集中控管的C&C基礎架構,讓背後的營運者能控制「客戶」發送XLoader的作業。(圖片來源/Checkpoint)

安全廠商CheckPoint發現,一隻原只感染Windows平臺的竊密程式現在發展成可跨Windows、macOS的版本,能竊取用戶的瀏覽器、電腦登入密碼等資訊。

一隻名為XLoader的竊密程式現在在地下論壇上被不同人兜售。分析程式碼顯示,它和近年一隻熱門竊密程式Formbook具有相同可執行檔。2016年出現的Formbook 原本是一隻鍵盤側錄木馬,但是後來被發現功能強大,被用於發動大規模垃圾郵件感染全球企業。一項研究顯示,Formbook是過去12個月感染數第4多的惡意程式。但惡意程式作者卻忽然無故終止銷售Formbook,不久後它就化身為XLoader,去年10月在過去Formbook銷售的論壇出現。

圖片來源/CheckPoint

根據地下網站流傳的XLoader銷售廣告,它是「現有最優異的殭屍網路下載器,具備密碼回復功能」,廣告宣稱XLoader能從多種應用程式取得儲存的密碼,包括所有版本的Chrome、Firefox、Internet Explorer (IE)、Microsoft Edge、Opera、Outlook、Foxmail及Thunder bird等。

圖片來源/CheckPoint

Checkpoint指出,和Formbook相較,XLoader技術比起前一代的Formbook更為成熟,最大的不同是多了跨平臺能力,能同時感染Windows、macOS電腦。此外,它還以新興的「Malware-as-a-Service」提供服務,它具有集中控管的C&C基礎架構,讓背後的營運者能控制「客戶」發送XLoader的作業。

根據販售公告,「客戶」有1或3月租用方案可選擇,Windows和macOS版本分別以49到129美元代價提供服務。販售者還釋出免費的Java binder,可建立整合Mach-O和exe二進位檔的JAR壓縮檔。

從去年10月開始到今年6月初,CheckPoint觀察到Formbook/XLoader感染範圍已多達69國,占了全世界超過1/3,其中以美國最多。

研究人員指出,XLoader非常狡猾,一般使用者很難發現到。他們也相信,隨著macOS電腦的普及,未來會成為更多惡意程式的目標。

他們建議macOS用戶使用Autorun功能檢查/Users/[username]/Library/LaunchAgents資料夾中,是否有可疑、隨機命名的檔案,並儘速刪除。

熱門新聞

Advertisement