最严重的Mac恶意软件病毒又回来了并以生产力应用程序的形式隐藏起来

  • 发布时间:2024-02-28 11:30:39 来源:
标签:
导读 如果您偶然发现一款声称是名为OfficeNote的生产力解决方案的应用程序,请忽略它并走开-它只是一个试图从您的macOS设备窃取敏感数据的恶意软

如果您偶然发现一款声称是名为OfficeNote的生产力解决方案的应用程序,请忽略它并走开-它只是一个试图从您的macOS设备窃取敏感数据的恶意软件。

SentinelOne的网络安全研究人员最近发表了一篇博客文章,详细介绍了他们发现的全新版本的XLoader,这是一种已有八年历史的恶意软件即服务,现在采用完全不同的编程语言编写,但能够像和以前一样严重破坏。

根据该报告,XLoader是一个信息窃取者和僵尸网络,能够窃取人们浏览器中存储的秘密等。旧版本是用Java编写的,但考虑到macOS默认不再支持它,新版本是用C和ObjectiveC从头开始​​编写的。此外,它还附带Apple开发人员签名MAITJAKHU(54YDV8NU9C)。研究人员没有详细说明攻击者是如何获得这个签名的。

无论如何,该签名已被苹果撤销,但库比蒂诺的内置恶意软件拦截器XProtect尚未开始发现该恶意软件,他们说。

研究人员进一步声称,该信息窃取程序越来越受欢迎,并表示上个月VirusTotal上出现了“多个提交内容”,这表明该信息窃取程序越来越受欢迎。在暗网上,Mac版本的服务费用为199美元/月,或者三个月每月200美元——与Windows版本(每月59美元,或者三个月129美元)相比,价格上涨了很多。

如果您最终在端点上安装了“OfficeNote”,您将收到一条消息,指出该应用程序无法运行。然而,在后台,应用程序按照预期运行,删除有效负载并安装持久性代理。如果不加检查地运行,恶意软件将尝试从用户的剪贴板窃取机密,并在Chrome和Firefox中寻找机密。有趣的是,Safari并未成为目标。

最后,XLoader非常努力地对其C2服务器保密,使用多个虚拟网络调用来迷惑研究人员。SentinelOne观察到169个DNS名称解析和203个HTTP请求。

  • 免责声明:本文由用户上传,如有侵权请联系删除!