adlı bir Apple macOS kötü amaçlı yazılımının yeni bir çeşidi XLoder “OfficeNote” adlı bir ofis üretkenlik uygulaması kisvesi altında kötü niyetli özelliklerini gizleyerek vahşi doğada ortaya çıktı.
“Yeni sürüm XLoder SentinelOne güvenlik araştırmacıları Dinesh Devadoss ve Phil Stokes, “OfficeNote.dmg adlı standart bir Apple disk görüntüsünün içinde paketlenmiştir.”
İlk olarak 2020’de tespit edilen XLoader, Formbook’un halefi olarak kabul ediliyor ve hizmet olarak kötü amaçlı yazılım (MaaS) modeli altında sunulan bir bilgi hırsızı ve keylogger. Kötü amaçlı yazılımın bir macOS çeşidi, Temmuz 2021’de ortaya çıktı ve derlenmiş bir .JAR dosyası biçiminde bir Java programı olarak dağıtıldı.
O sırada siber güvenlik firması, “Bu tür dosyalar Java Runtime Environment gerektirir ve bu nedenle kötü amaçlı .jar dosyası, Apple on yıldan uzun bir süre önce JRE’yi Mac’lerle birlikte göndermeyi durdurduğu için, kutudan çıkar çıkmaz bir macOS kurulumunda yürütülmez.” .
XLoader’ın en son yinelemesi, 17 Temmuz 2023’te imzalanan disk görüntü dosyasıyla C ve Objective C gibi programlama dillerine geçerek bu sınırlamayı aşıyor. Apple o zamandan beri imzayı iptal etti.
SentinelOne, 2023 Temmuz ayı boyunca VirusTotal’da eserin birden çok gönderimini tespit ettiğini ve bunun da yaygın bir kampanyaya işaret ettiğini söyledi.
Araştırmacılar, “Suç yazılımı forumlarındaki reklamlar, Mac sürümünü ayda 199 ABD Doları veya 3 ayda 299 ABD Doları karşılığında sunuyor” dedi. “İlginç bir şekilde, bu, XLoader’ın ayda 59 ABD doları ve ayda 129 ABD doları olan Windows türevlerine kıyasla nispeten pahalı.”
Yürütüldükten sonra, OfficeNote “orijinal öğe bulunamadığından açılamıyor” şeklinde bir hata mesajı atar, ancak gerçekte kalıcılık için arka planda bir Başlatma Aracısı kurar.
XLoader, pano verilerini ve Google Chrome ve Mozilla Firefox gibi web tarayıcılarıyla ilişkili dizinlerde depolanan bilgileri toplamak için tasarlanmıştır. Ancak Safari hedeflenmiyor.
Kötü amaçlı yazılım, hem manuel hem de otomatik çözümlerle analizden kaçınmak için adımlar atmasının yanı sıra, yürütülmesini geciktirmek ve herhangi bir kırmızı bayrak oluşmasını önlemek için uyku komutları çalıştıracak şekilde yapılandırılmıştır.
Araştırmacılar, “XLoader, macOS kullanıcıları ve işletmeleri için bir tehdit oluşturmaya devam ediyor.”
“Bir ofis üretkenlik uygulaması kılığına giren bu son yineleme, ilgilenilen hedeflerin açıkça bir çalışma ortamındaki kullanıcılar olduğunu gösteriyor. Kötü amaçlı yazılım, daha fazla uzlaşma için kullanılabilecek veya diğer tehdit aktörlerine satılabilecek tarayıcı ve pano sırlarını çalmaya çalışıyor.”