Nova Variante do Malware XLoader para macOS Disfarçada como Aplicativo de Produtividade 'OfficeNote'
22 de Agosto de 2023

Uma nova variante de um malware do Apple macOS chamado XLoader surgiu, disfarçando suas características maliciosas sob a forma de um aplicativo de produtividade de escritório chamado "OfficeNote".

"A nova versão do XLoader vem embutida em uma imagem de disco padrão da Apple, com o nome de OfficeNote.dmg", disseram os pesquisadores de segurança da SentinelOne, Dinesh Devadoss e Phil Stokes, em uma análise na segunda-feira.

"O aplicativo contido nela é assinado com a assinatura do desenvolvedor MAIT JAKHU (54YDV8NU9C)."

O XLoader, detectado pela primeira vez em 2020, é considerado um sucessor do Formbook e é um ladrão de informações e keylogger oferecido no modelo de malware-as-a-service (MaaS).

Uma variante macOS do malware surgiu em julho de 2021, distribuída como programa Java na forma de um arquivo .JAR compilado.

"Esses arquivos exigem o ambiente de execução Java e, por esse motivo, o arquivo .jar malicioso não será executado em uma instalação do macOS diretamente da caixa, uma vez que a Apple parou de enviar o JRE com os Macs há mais de uma década", observou a empresa de cibersegurança na época.

A última iteração do XLoader contorna essa limitação ao mudar para linguagens de programação como C e Objective C, com o arquivo de imagem de disco assinado em 17 de julho de 2023.

A Apple, desde então, revogou a assinatura.

A SentinelOne disse que detectou várias submissões do artefato no VirusTotal, ao longo do mês de julho de 2023, indicando uma campanha abrangente.

"Anúncios em fóruns de crimeware oferecem a versão para Mac para aluguel a $199/mês ou $299/3 meses", disseram os pesquisadores.

"Curiosamente, isso é relativamente caro em comparação com as variantes do XLoader para Windows, que custam $59/mês e $129/3 meses."

Uma vez executado, o OfficeNote exibe uma mensagem de erro dizendo que "não pode ser aberto porque o item original não pode ser encontrado", mas, na realidade, ele instala um Agente de Inicialização em segundo plano para persistência.

O XLoader é projetado para coletar dados da área de transferência, bem como informações armazenadas nos diretórios associadas aos navegadores da web, como o Google Chrome e o Mozilla Firefox.

No entanto, o Safari não é visado.

Além de tomar medidas para evitar a análise manual e por soluções automatizadas, o malware é configurado para executar comandos sleep para atrasar sua execução e evitar levantar qualquer bandeira vermelha.

"O XLoader continua a apresentar uma ameaça para os usuários e empresas do macOS", concluíram os pesquisadores.

"Essa última iteração, disfarçada de aplicativo de produtividade de escritório, mostra que os alvos de interesse são claramente usuários em um ambiente de trabalho.

O malware tenta roubar segredos do navegador e da área de transferência que podem ser usados ou vendidos para outros atores de ameaças para comprometer ainda mais."

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...