XLoader macOS 恶意软件伪装成 OfficeNote进行攻击

据 SentinelOne 的网络安全专家称，一种名为 XLoader 的苹果 macOS 恶意软件的新变种目前已经出现，它会伪装成一个名为 "OfficeNote "的办公自动化应用程序进行攻击。

研究人员迪内希-德瓦多斯（Dinesh Devadoss）和菲尔-斯托克斯（Phil Stokes）在周一发布的一份分析报告中透露，这个新形式的 XLoader 被打包在一个名为 OfficeNote.dmg 的普通苹果磁盘镜像中。并且该应用程序还带有开发者的签名 "MAIT JAKHU (54YDV8NU9C)"。

XLoader 最初被发现于 2020 年，当时被归类为信息窃取程序和键盘记录程序，以恶意软件即服务（MaaS）模式运行。

它模仿了 Formbook 的攻击方式。虽然 XLoader 的 macOS 变种于 2021 年 7 月才出现，当时是以编译的.JAR 文件的 Java 程序形式发布，但其正常的运行受到现代 macOS 安装中 Java 运行时环境缺失的限制。

为了规避这一限制，最新版本的 XLoader 使用了 C 和 Objective C 等编程语言。携带该恶意软件的磁盘镜像文件是在 2023 年 7 月 17 日签署的，苹果公司后来撤销了这一签名。

SentinelOne 报告称，2023 年 7 月在 VirusTotal 上发现了该恶意软件的多个实例，表明这是一个影响范围很大的攻击活动。研究人员还注意到，该恶意软件在犯罪论坛上打出了出租广告，macOS 版本的售价为每月 199 美元或三个月 299 美元。

有趣的是，这一价格比 Windows 版本的 XLoader 更贵，后者的价格为每月 59 美元或三个月 129 美元。

这个恶意程序一旦启动，这个看似无害的 OfficeNote 应用程序就会显示一条错误信息，声称由于缺少一个原始项目而无法被打开。实际上，它已经在后台偷偷安装了一个启动代理，以确保其能够持续运行。

XLoader 的功能主要是收集剪贴板数据和存储在与谷歌浏览器和火狐浏览器等网络浏览器相关目录中的信息。不过，Safari 目前似乎并不受其影响。

此外，该恶意软件还引入了睡眠命令，延迟执行并躲避人工和自动安全措施的检测。

研究人员总结说，XLoader 目前已经对 macOS 用户和企业构成了很大的威胁。

这个伪装成办公生产应用程序的最新迭代版本表明，其攻击目标显然是工作环境中的用户。该恶意软件会试图窃取浏览器和剪贴板的信息，这些机密信息可能会被用于或出售给其他威胁行为者，以进一步进行破坏。

参考及来源：

https://www.cysecurity.news/2023/08/xloader-macos-malware-variant-disguised.html

原文来源：嘶吼专业版

原文始发于微信公众号（关键基础设施安全应急响应中心）：XLoader macOS 恶意软件伪装成 OfficeNote进行攻击