如果您偶然发现一款声称是名为OfficeNote的生产力解决方案的应用程序,请忽略它并走开-它只是一个试图从您的macOS设备窃取敏感数据的恶意软件。
SentinelOne的网络安全研究人员最近发表了一篇博客文章,详细介绍了他们发现的全新版本的XLoader,这是一种已有八年历史的恶意软件即服务,现在采用完全不同的编程语言编写,但能够像和以前一样严重破坏。
根据该报告,XLoader是一个信息窃取者和僵尸网络,能够窃取人们浏览器中存储的秘密等。旧版本是用Java编写的,但考虑到macOS默认不再支持它,新版本是用C和ObjectiveC从头开始编写的。此外,它还附带Apple开发人员签名MAITJAKHU(54YDV8NU9C)。研究人员没有详细说明攻击者是如何获得这个签名的。
无论如何,该签名已被苹果撤销,但库比蒂诺的内置恶意软件拦截器XProtect尚未开始发现该恶意软件,他们说。
研究人员进一步声称,该信息窃取程序越来越受欢迎,并表示上个月VirusTotal上出现了“多个提交内容”,这表明该信息窃取程序越来越受欢迎。在暗网上,Mac版本的服务费用为199美元/月,或者三个月每月200美元——与Windows版本(每月59美元,或者三个月129美元)相比,价格上涨了很多。
如果您最终在端点上安装了“OfficeNote”,您将收到一条消息,指出该应用程序无法运行。然而,在后台,应用程序按照预期运行,删除有效负载并安装持久性代理。如果不加检查地运行,恶意软件将尝试从用户的剪贴板窃取机密,并在Chrome和Firefox中寻找机密。有趣的是,Safari并未成为目标。
最后,XLoader非常努力地对其C2服务器保密,使用多个虚拟网络调用来迷惑研究人员。SentinelOne观察到169个DNS名称解析和203个HTTP请求。