تحذير من طراز جديد من برنامج XLoader macOS الضار متنكرًا في شكل تطبيق إنتاجية “OfficeNote”. اكتشف باحثو الأمن السيبراني طرازًا جديدًا من برنامج XLoader macOS الضار ، والذي يُخفي ميزاته الضارة تحت ستار تطبيق إنتاجية يسمى “OfficeNote”.
قال باحثو الأمن في SentinelOne Dinesh Devadoss و Phil Stokes في تحليل يوم الاثنين: “تم حزمة الإصدار الجديد من XLoader داخل صورة قرص Apple القياسية باسم OfficeNote.dmg”. “التطبيق الموجود بداخله موقع عليه بتوقيع المطور MAIT JAKHU (54YDV8NU9C).”
متى تم اكتشاف XLoader.
تم اكتشاف XLoader لأول مرة في عام 2020. ويعتبر خليفة Formbook وهو عبارة عن برنامج سرقة معلومات ولوغر مفاتيح يتم تقديمه كخدمة (MaaS). ظهر طراز macOS من البرنامج الضار في يوليو 2021 ، وتم توزيعه كبرنامج Java في شكل ملف JAR الم compiled.
“تتطلب هذه الملفات بيئة Java Runtime ، ولهذا السبب لن يتم تنفيذ ملف .jar الضار على تثبيت macOS خارج الصندوق ، حيث توقف Apple عن شحن JRE مع أجهزة Mac منذ أكثر من عقد.” لاحظت شركة الأمن السيبراني في ذلك الوقت.
يتجنب أحدث إصدار من XLoader هذه ال limitation عن طريق التحول إلى لغات برمجة مثل C و Objective C ، مع توقيع ملف صورة القرص في 17 يوليو 2023. وقد ألغت Apple التوقيع منذ ذلك الحين.
قال SentinelOne إنه اكتشف العديد من عروض ال artifact على VirusTotal طوال شهر يوليو 2023. مما يشير إلى حملة واسعة النطاق.
“تقدم الإعلانات على منتديات الجريمة الإلكترونية إصدار Mac للإيجار بسعر 199 دولارًا شهريًا أو 299 دولارًا لمدة 3 أشهر.” قال الباحثون. “من المثير للاهتمام أن هذا مكلف نسبيًا مقارنةً بإصدارات Windows من XLoader. والتي تباع بسعر 59 دولارًا شهريًا و 129 دولارًا لمدة 3 أشهر.”
بمجرد التنفيذ. يعرض OfficeNote رسالة خطأ تقول أنه “لا يمكن فتحه لأن العنصر الأصلي غير موجود” كتكتيك للتحويل. ولكن في الواقع. فإنه يقوم بتثبيت Launch Agent في الخلفية من أجل الاستمرارية.
تم تصميم XLoader لحصاد بيانات الحافظة بالإضافة إلى المعلومات المخزنة في الdirectories المرتبطة بمتصفحات الويب مثل Google Chrome و Mozilla Firefox. ومع ذلك. لا يتم استهداف Safari.
بالإضافة إلى اتخاذ خطوات لتجنب التحليل يدويًا وتلقائيًا. تم تكوين البرنامج الضار لتشغيل أوامر sleep لتأخير تنفيذه وتجنب رفع أي أعلام حمراء.
من ناحية أخرى “يستمر XLoader في كونه تهديدًا لمستخدمي macOS وال businesses.” خلص الباحثون.
“يُظهر هذا الإصدار الأخير الذي يتنكر في شكل تطبيق إنتاجية للمكتب أن الأهداف المستهدفة هي بوضوح المستخدمون في بيئة العمل. يحاول البرنامج الضار سرقة أسرار المتصفح والحافظة التي يمكن استخدامها أو بيعها لجهات أخرى لمزيد من ال compromise.”
أرجو أن يكون هذا مفيدًا. تحذير من طراز جديد من برنامج XLoader macOS الضار متنكرًا في شكل تطبيق إنتاجية “OfficeNote”. كما تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.