XLoader是一个存在已久的信息窃取者和僵尸网络,自2015年以来一直活跃,现在已出现macOS变种,并在实际环境中被发现。SentinelOne研究人员在一篇博客文章中指出,这个macOS XLoader变种最早仅出现在Java程序中,如今它已使用C和Objective C语言编写,并且通过Apple开发者签名。
根据SentinelOne的研究,在7月份有多次该XLoader样本在VirusTotal上被提交,该恶意软件伪装成一个名为OfficeNote的假冒办公生产力应用。研究人员表示:“XLoader继续对macOS用户和企业构成威胁。这个伪装成办公应用程序的最新版本显示它们的目标明确,即办公环境中的用户。该恶意软件试图窃取浏览器和剪贴板中的秘密,这可能被其他威胁行为者用于进一步攻击。”
SentinelOne研究人员指出,XLoader的第一个macOS变种于2021年被发现,并因其以Java程序分发而引起注目。正如SentinelOne在之前的博客中所解释的,自Snow Leopard时代以来,Java运行时环境便不再默认随macOS安装,这意味着该恶意软件仅限于Java被可选安装的环境中作恶。
研究人员表示,该应用程序于7月17日签名,但Apple此后已撤销了该签名。尽管如此,SentinelOne的测试表明,截至目前,Apple的恶意软件阻止工具XProtect仍未能对该XLoader恶意软件进行拦截。
在网络犯罪论坛上,XLoader的Mac版本以每月199美元或三个月299美元的价格出租。相比之下,Windows版本的XLoader价格为每月59美元或三个月129美元,显得相对廉价。
XLoader从依赖Java到利用本地macOS平台的分发机制的演变,证明了网络安全威胁的不断变化,Critical Start的网络威胁研究高级经理Callie Guenther表示。这一转变不仅是技术上的调整,更反映了威胁行为者的战略远见和适应性。
Guenther解释道:“随着Java在macOS上的使用逐渐减少,这些对手敏锐地察觉到一个不断进化的生态系统,重新调整了他们的策略。通过转向本地macOS分发,他们不仅扩大了潜在受害者的基础,同时也利用了macOS被广泛视为更安全环境的观念。这一举动不仅显示出技术的先进,更体现了对用户心理及信任机制的深刻理解。”
Guenther还指出,利用Apple开发者签名进行恶意软件分发进一步强调了这一点,展示了这些行为者为利用数字信任通道所付出的努力。
白鲸加速器1.45“当看到从Java完全迁移到macOS时,很明显这不仅仅是为了妥协更多系统或窃取更多数据,”Guenther表示。“这是一种计算过的战略举措,展现了这些威胁行为者的持久性与复杂性。他们对工具和方法的不断演变提醒我们,在网络安全领域,满意现状不是选择,追求强有力的防御措施是我们义不容辞的责任。”
Inversion6的首席信息安全官Damir J Brescic
