Sommario
Una nuova variante del malware XLoader per Apple macOS è stata individuata in natura, celando le sue funzionalità malevole sotto le sembianze di un’app di produttività chiamata “OfficeNote”.
Dettagli del malware
“La nuova versione di XLoader è contenuta all’interno di un’immagine disco standard di Apple con il nome OfficeNote.dmg”, hanno dichiarato i ricercatori di sicurezza di SentinelOne, Dinesh Devadoss e Phil Stokes. “L’applicazione contenuta al suo interno è firmata con la firma dello sviluppatore MAIT JAKHU (54YDV8NU9C)”. XLoader, rilevato per la prima volta nel 2020, è considerato il successore di Formbook ed è uno strumento di furto di informazioni e keylogger offerto nel modello malware-as-a-service (MaaS). Una variante macOS del malware è emersa nel luglio 2021, distribuita come programma Java sotto forma di file .JAR compilato.
Evoluzione del malware
La nuova iterazione di XLoader supera questa limitazione passando a linguaggi di programmazione come C e Objective C, con il file di immagine disco firmato il 17 luglio 2023. Apple ha successivamente revocato la firma. SentinelOne ha rilevato molteplici invii dell’artefatto su VirusTotal nel corso del mese di luglio 2023, indicando una campagna diffusa.
Costi e distribuzione
“Gli annunci sui forum di crimeware offrono la versione Mac in affitto a $199 al mese o $299 per 3 mesi”, hanno affermato i ricercatori. “Curiosamente, questo è relativamente costoso rispetto alle varianti Windows di XLoader, che vengono vendute a $59 al mese e $129 per 3 mesi”.
Funzionalità e obiettivi
Una volta eseguito, OfficeNote mostra un messaggio di errore che dice che “non può essere aperto perché l’elemento originale non può essere trovato”, ma, in realtà, installa un Launch Agent in background per la persistenza. XLoader è progettato per raccogliere dati dagli appunti e informazioni memorizzate nelle directory associate ai browser web come Google Chrome e Mozilla Firefox. Tuttavia, Safari non è preso di mira.
“XLoader continua a rappresentare una minaccia per gli utenti e le aziende macOS”, hanno concluso i ricercatori. “Questa ultima iterazione che si maschera come un’applicazione di produttività per ufficio mostra che gli obiettivi di interesse sono chiaramente gli utenti in un ambiente lavorativo. Il malware tenta di rubare segreti del browser e degli appunti che potrebbero essere utilizzati o venduti ad altri attori minacciosi per ulteriori compromissioni”.
