论文部分内容阅读
网络犯罪分子对一款针对Windows系统的著名恶意软件进行了编码修改,并将其改造成一款新型的信息窃取型恶意软件——XLoader。XLoader变种不仅能够攻击Windows系统,还可以针对MacOS系统执行信息窃取任务。
XLoader目前在一个暗网地下论坛中以僵尸网络加载服务(MaaS)的形式提供给网络犯罪分子使用。由于该恶意软件不仅便宜,还很简单,傻瓜模式的操作使其在竞争恶意软件中脱颖而出。
从不起眼的键盘记录器到炙手可热的恶意软件
XLoader的前身是针对Windows系统的信息窃取型恶意软件——Formbook,这款恶意软件从2020年2月份开始一直活跃至今,它也被认为是一款无依赖的跨平台僵尸网络,并且同时支持Windows系统和MacOS系统。
安全社区的一名研究人员对XLoader进行了逆向工程分析,发现它与Formbook具有相同的可执行文件后,确认了这2个恶意软件之间的联系。
地下论坛的XLoader恶意软件推广人员解释称,Formbook的开发人员为创建XLoader做出了很大贡献,这2个恶意软件具有相似的功能,其中包括窃取登录凭据、捕捉屏幕截图、记录键盘击键信息和执行恶意文件等。
据了解,每一个客户可以以49美元/月的价格租用MacOS恶意软件版本,并可以访问卖家提供的服务器。通过维护一个中心化的命令和控制基础设施,攻击者将能够控制客户端使用恶意软件的方式。
而XLoader的Windows版本则更贵,运营商给出的套餐价格为59美元/月和129美元3个月。
正如地下論坛广告中所提到的那样,XLoader的制造商还免费提供了一个Java绑定器,允许客户使用Mach-O和.exe二进制文件创建一个独立的JAR文件。
全球范围内传播,低成本的“威胁”
CheckPoint的恶意软件研究人员对XLoader进行了长达6个月的跟踪分析,截止至2021年6月1日,总共发现了来自69个国家的请求,表明XLoader在全球范围内的传播非常广泛,而且有超过一半的受害者位于美国地区。
虽然Formbook已经不在地下论坛打广告了,但它所带来的威胁仍不容小觑。在过去的3年中,它至少参与了1000个恶意软件的攻击活动,根据AnyRun提供的恶意软件趋势分析报告,这款信息窃取型恶意软件在过去的12个月内排名第4,影响仅次于Emotet。
如果说Formbook的流行是一个起点的话,那么XLoader可能会更流行,因为它针对的是消费者使用的2种最流行的操作系统。
CheckPoint的研究人员表示,XLoader的隐蔽性足以让普通的非技术用户很难发现它。
安全建议
MacOS的日益普及使它越来越受到网络犯罪分子的关注,而MacOS目前也已经成为网络犯罪分子眼中极具吸引力的目标之一。
虽然Windows和MacOS的恶意软件之间可能存在差距,但随着时间的推移,这种差距正在慢慢缩小。研究人员也认为,将来会有越来越多针对MacOS系统的恶意软件诞生,而现有的恶意软件也会逐步将MacOS系统添加到自己支持的操作系统列表中。
最后,研究人员建议广大用户使用MacOS的Autorun检查操作系统中的用户名,并查看LaunchAgents目录[/Users/[usemame]/Library/LaunchAgents],然后删除包含可疑文件名的内容。
XLoader目前在一个暗网地下论坛中以僵尸网络加载服务(MaaS)的形式提供给网络犯罪分子使用。由于该恶意软件不仅便宜,还很简单,傻瓜模式的操作使其在竞争恶意软件中脱颖而出。
从不起眼的键盘记录器到炙手可热的恶意软件
XLoader的前身是针对Windows系统的信息窃取型恶意软件——Formbook,这款恶意软件从2020年2月份开始一直活跃至今,它也被认为是一款无依赖的跨平台僵尸网络,并且同时支持Windows系统和MacOS系统。
安全社区的一名研究人员对XLoader进行了逆向工程分析,发现它与Formbook具有相同的可执行文件后,确认了这2个恶意软件之间的联系。
地下论坛的XLoader恶意软件推广人员解释称,Formbook的开发人员为创建XLoader做出了很大贡献,这2个恶意软件具有相似的功能,其中包括窃取登录凭据、捕捉屏幕截图、记录键盘击键信息和执行恶意文件等。
据了解,每一个客户可以以49美元/月的价格租用MacOS恶意软件版本,并可以访问卖家提供的服务器。通过维护一个中心化的命令和控制基础设施,攻击者将能够控制客户端使用恶意软件的方式。
而XLoader的Windows版本则更贵,运营商给出的套餐价格为59美元/月和129美元3个月。
正如地下論坛广告中所提到的那样,XLoader的制造商还免费提供了一个Java绑定器,允许客户使用Mach-O和.exe二进制文件创建一个独立的JAR文件。
全球范围内传播,低成本的“威胁”
CheckPoint的恶意软件研究人员对XLoader进行了长达6个月的跟踪分析,截止至2021年6月1日,总共发现了来自69个国家的请求,表明XLoader在全球范围内的传播非常广泛,而且有超过一半的受害者位于美国地区。
虽然Formbook已经不在地下论坛打广告了,但它所带来的威胁仍不容小觑。在过去的3年中,它至少参与了1000个恶意软件的攻击活动,根据AnyRun提供的恶意软件趋势分析报告,这款信息窃取型恶意软件在过去的12个月内排名第4,影响仅次于Emotet。
如果说Formbook的流行是一个起点的话,那么XLoader可能会更流行,因为它针对的是消费者使用的2种最流行的操作系统。
CheckPoint的研究人员表示,XLoader的隐蔽性足以让普通的非技术用户很难发现它。
安全建议
MacOS的日益普及使它越来越受到网络犯罪分子的关注,而MacOS目前也已经成为网络犯罪分子眼中极具吸引力的目标之一。
虽然Windows和MacOS的恶意软件之间可能存在差距,但随着时间的推移,这种差距正在慢慢缩小。研究人员也认为,将来会有越来越多针对MacOS系统的恶意软件诞生,而现有的恶意软件也会逐步将MacOS系统添加到自己支持的操作系统列表中。
最后,研究人员建议广大用户使用MacOS的Autorun检查操作系统中的用户名,并查看LaunchAgents目录[/Users/[usemame]/Library/LaunchAgents],然后删除包含可疑文件名的内容。