安全厂商CheckPoint发现,一只原只感染Windows平台的窃密程序现在发展成可跨Windows、macOS的版本,能窃取用户的浏览器、计算机登录密码等信息。
一只名为XLoader的窃密程序现在当地下论坛上被不同人兜售。分析程序代码显示,它和近年一只热门窃密程序Formbook具有相同可执行文件。2016年出现的Formbook原本是一只键盘监听木马,但是后来被发现功能强大,被用于发动大规模垃圾邮件感染全球企业。一项研究显示,Formbook是过去12个月感染数第4多的恶意程序。但恶意程序作者却忽然无故终止销售Formbook,不久后它就化身为XLoader,去年10月在过去Formbook销售的论坛出现。
图片来源/CheckPoint
根据地下网站流传的XLoader销售广告,它是“现有最优异的僵尸网络下载器,具备密码回复功能”,广告宣称XLoader能从多种应用程序取得存储的密码,包括所有版本的Chrome、Firefox、Internet Explorer (IE)、Microsoft Edge、Opera、Outlook、Foxmail及Thunder bird等。
图片来源/CheckPoint
Checkpoint指出,和Formbook相较,XLoader技术比起前一代的Formbook更为成熟,最大的不同是多了跨平台能力,能同时感染Windows、macOS计算机。此外,它还以新兴的“Malware-as-a-Service”提供服务,它具有集中管控的C&C基础架构,让背后的运营者能控制“客户”发送XLoader的作业。
根据销售公告,“客户”有1或3月租用方案可选择,Windows和macOS版本分别以49到129美元代价提供服务。销售者还发布免费的Java binder,可创建集成Mach-O和exe二进制档的JAR压缩文件。
从去年10月开始到今年6月初,CheckPoint观察到Formbook/XLoader感染范围已多达69国,占了全世界超过1/3,其中以美国最多。
研究人员指出,XLoader非常狡猾,一般用户很难发现到。他们也相信,随着macOS计算机的普及,未来会成为更多恶意程序的目标。
他们建议macOS用户使用Autorun功能检查/Users/“username”/Library/LaunchAgents文件夹中,是否有可疑、随机命名的文件,并尽快删除。