0
0
Uma nova variante específica do macOS do conhecido malware XLoader está sendo entregue disfarçada como o aplicativo “OfficeNote”.
“Vários envios desta amostra apareceram no VirusTotal ao longo de julho, indicando que o malware foi amplamente distribuído”, disseram os pesquisadores do SentinelOne.
A nova variante de malware XLoader macOS
XLoader é um infostealer e botnet de malware como serviço que está ativo desde 2015, mas apareceu pela primeira vez como uma variante do macOS em 2021, escrito em Java.
“O Java Runtime Environment não é fornecido por padrão no macOS desde os dias do Snow Leopard, o que significa que o malware estava limitado em seu direcionamento a ambientes onde o Java havia sido instalado opcionalmente”, explicaram os pesquisadores do SentinelOne.
Portanto, os desenvolvedores de malware reescreveram o XLoader para Mac para funcionar sem dependências. “Escrito nativamente nas linguagens de programação C e Objective C e assinado com uma assinatura de desenvolvedor da Apple, o XLoader agora está disfarçado como um aplicativo de produtividade de escritório chamado ‘OfficeNote’”, descobriram eles.
Assinatura de desenvolvedor Apple revogada do OfficeNote. (Fonte: SentinelOne)
Essa assinatura específica do desenvolvedor da Apple foi revogada, mas o XProtect – a ferramenta de bloqueio de malware da Apple – ainda não bloqueia a execução desta variante específica, disseram os pesquisadores na segunda-feira.
Comportamento de malware
Uma vez executado, o malware mostra uma mensagem de erro codificada ( “OfficeNote” não pode ser aberto porque o item original não pode ser encontrado. ) enquanto, ao mesmo tempo, instala secretamente sua carga maliciosa e seu agente de persistência.
O XLoader tentará então roubar segredos da área de transferência do usuário e credenciais de login armazenadas pelos navegadores Chrome e Firefox (mas não pelo Safari), enquanto disfarça a localização de seu servidor de comando e controle (C2).
“O XLoader também tenta escapar da análise tanto manualmente quanto por soluções automatizadas”, disseram os pesquisadores. “Na execução, o malware executa comandos de suspensão para atrasar o comportamento na esperança de enganar as ferramentas de análise automatizadas. Os binários são eliminados e exibem alta entropia na tentativa de impedir de forma semelhante a análise estática.”
Macs ganhando popularidade como alvos
A crescente integração de dispositivos macOS em ambientes empresariais aumentou significativamente o seu apelo aos cibercriminosos.
Consequentemente, os cibercriminosos estão a intensificar os seus esforços para comprometer os sistemas macOS , procurando capitalizar o potencial de ganhos financeiros substanciais.
“O XLoader continua a representar uma ameaça para usuários e empresas do macOS. Esta última iteração disfarçada de aplicativo de produtividade de escritório mostra que os alvos de interesse são claramente os usuários em um ambiente de trabalho”, concluíram os pesquisadores.
FONTE: HELP NET SECURITY