據 SentinelOne 的網絡安全專家稱，一種名為 XLoader 的蘋果 macOS 惡意軟件的新變種目前已經出現，它會偽裝成一個名為 "OfficeNote "的辦公自動化應用程序進行攻擊。

研究人員迪內希-德瓦多斯（Dinesh Devadoss）和菲爾-斯托克斯（Phil Stokes）在周一發布的一份分析報告中透露，這個新形式的 XLoader 被打包在一個名為 OfficeNote.dmg 的普通蘋果磁盤鏡像中。并且該應用程序還帶有開發者的簽名 "MAIT JAKHU (54YDV8NU9C)"。

XLoader 最初被發現于 2020 年，當時被歸類為信息竊取程序和鍵盤記錄程序，以惡意軟件即服務（MaaS）模式運行。

它模仿了 Formbook 的攻擊方式。雖然 XLoader 的 macOS 變種于 2021 年 7 月才出現，當時是以編譯的.JAR 文件的 Java 程序形式發布，但其正常的運行受到現代 macOS 安裝中 Java 運行時環境缺失的限制。

為了規避這一限制，最新版本的 XLoader 使用了 C 和 Objective C 等編程語言。攜帶該惡意軟件的磁盤鏡像文件是在 2023 年 7 月 17 日簽署的，蘋果公司后來撤銷了這一簽名。

SentinelOne 報告稱，2023 年 7 月在 VirusTotal 上發現了該惡意軟件的多個實例，表明這是一個影響范圍很大的攻擊活動。研究人員還注意到，該惡意軟件在犯罪論壇上打出了出租廣告，macOS 版本的售價為每月 199 美元或三個月 299 美元。

有趣的是，這一價格比 Windows 版本的 XLoader 更貴，后者的價格為每月 59 美元或三個月 129 美元。

這個惡意程序一旦啟動，這個看似無害的 OfficeNote 應用程序就會顯示一條錯誤信息，聲稱由于缺少一個原始項目而無法被打開。實際上，它已經在后臺偷偷安裝了一個啟動代理，以確保其能夠持續運行。

XLoader 的功能主要是收集剪貼板數據和存儲在與谷歌瀏覽器和火狐瀏覽器等網絡瀏覽器相關目錄中的信息。不過，Safari 目前似乎并不受其影響。

此外，該惡意軟件還引入了睡眠命令，延遲執行并躲避人工和自動安全措施的檢測。

研究人員總結說，XLoader 目前已經對 macOS 用戶和企業構成了很大的威脅。

這個偽裝成辦公生產應用程序的最新迭代版本表明，其攻擊目標顯然是工作環境中的用戶。該惡意軟件會試圖竊取瀏覽器和剪貼板的信息，這些機密信息可能會被用于或出售給其他威脅行為者，以進一步進行破壞。

本文翻譯自：https://www.cysecurity.news/2023/08/xloader-macos-malware-variant-disguised.html如若轉載，請注明原文地址