Uma nova variante de um malware do Apple macOS chamado XLoader surgiu, disfarçando suas características maliciosas sob a forma de um aplicativo de produtividade de escritório chamado "OfficeNote".
"A nova versão do XLoader vem embutida em uma imagem de disco padrão da Apple, com o nome de OfficeNote.dmg", disseram os pesquisadores de segurança da SentinelOne, Dinesh Devadoss e Phil Stokes, em uma análise na segunda-feira.
"O aplicativo contido nela é assinado com a assinatura do desenvolvedor MAIT JAKHU (54YDV8NU9C)."
O XLoader, detectado pela primeira vez em 2020, é considerado um sucessor do Formbook e é um ladrão de informações e keylogger oferecido no modelo de malware-as-a-service (MaaS).
Uma variante macOS do malware surgiu em julho de 2021, distribuída como programa Java na forma de um arquivo .JAR compilado.
"Esses arquivos exigem o ambiente de execução Java e, por esse motivo, o arquivo .jar malicioso não será executado em uma instalação do macOS diretamente da caixa, uma vez que a Apple parou de enviar o JRE com os Macs há mais de uma década", observou a empresa de cibersegurança na época.
A última iteração do XLoader contorna essa limitação ao mudar para linguagens de programação como C e Objective C, com o arquivo de imagem de disco assinado em 17 de julho de 2023.
A Apple, desde então, revogou a assinatura.
A SentinelOne disse que detectou várias submissões do artefato no VirusTotal, ao longo do mês de julho de 2023, indicando uma campanha abrangente.
"Anúncios em fóruns de crimeware oferecem a versão para Mac para aluguel a $199/mês ou $299/3 meses", disseram os pesquisadores.
"Curiosamente, isso é relativamente caro em comparação com as variantes do XLoader para Windows, que custam $59/mês e $129/3 meses."
Uma vez executado, o OfficeNote exibe uma mensagem de erro dizendo que "não pode ser aberto porque o item original não pode ser encontrado", mas, na realidade, ele instala um Agente de Inicialização em segundo plano para persistência.
O XLoader é projetado para coletar dados da área de transferência, bem como informações armazenadas nos diretórios associadas aos navegadores da web, como o Google Chrome e o Mozilla Firefox.
No entanto, o Safari não é visado.
Além de tomar medidas para evitar a análise manual e por soluções automatizadas, o malware é configurado para executar comandos sleep para atrasar sua execução e evitar levantar qualquer bandeira vermelha.
"O XLoader continua a apresentar uma ameaça para os usuários e empresas do macOS", concluíram os pesquisadores.
"Essa última iteração, disfarçada de aplicativo de produtividade de escritório, mostra que os alvos de interesse são claramente usuários em um ambiente de trabalho.
O malware tenta roubar segredos do navegador e da área de transferência que podem ser usados ou vendidos para outros atores de ameaças para comprometer ainda mais."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...