El malware XLoader se actualiza y se hace pasar por una aplicación de Office en macOS

Un nuevo informe de la empresa de ciberseguridad SentinelOne muestra cómo el malware XLoader ha evolucionado. Este malware recolector de información ha estado dirigido hacia macOS desde 2015, pero recientemente ha sido actualizado. Ahora se hace pasar por una aplicación de Office para infectar los equipos de los usuarios y robar información de sus portapapeles y navegadores.

Saltos rápidos:

• ¿Qué es XLoader y cómo se actualizó?
• Ejecución y funcionalidades de XLoader
• ¿Cómo se distribuye XLoader?
• Cómo proteger tu empresa de la amenaza del malware XLoader

¿Qué es XLoader y cómo se actualizó?

XLoader es un malware recolector de información y keylogger como un servicio, reportado por primera vez por SentinelOne en 2021. Sin embargo, el malware fue desarrollado a partir del código fuente de Formbook, un malware recolector de información y keylogger que estuvo activo entre 2015 y 2021. Mientras que Formbook solo se dirigía a sistemas operativos Microsoft Windows, XLoader comenzó a atacar tanto a Windows como a macOS.

Las primeras versiones de XLoader necesitaban que se ejecutara el Entorno de Ejecución de Java (JRE) para tener éxito. Desde que Apple dejó de incluir JRE en macOS hace años, ha sido menos efectivo en comparación con otros malware, aunque muchos usuarios en macOS aún necesitan JRE para diferentes propósitos y lo tienen instalado en sus sistemas.

Los investigadores de SentinelOne, Dinesh Devadoss y Phil Stokes, informan que XLoader ha regresado en una nueva forma y sin las dependencias de Java. El nuevo código está escrito en lenguajes de programación C y Objective C, y está firmado con una firma de desarrollador de Apple de "Mait Jakhu" (Figura A).

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Figura A

La fecha de la firma es el 17 de julio de 2023, pero ahora ha sido revocada por Apple. Esto significa que si un usuario intenta ejecutar el archivo en una Mac, el sistema operativo mostrará una advertencia al respecto (Figura B) y no lo ejecutará.

Figura B

Ejecución y funcionalidades de XLoader

El malware XLoader tiene la capacidad de robar contraseñas de muchos navegadores en Windows y Mac, aunque su versión de Mac se limita a robar contraseñas de Google Chrome y Mozilla Firefox, y a robar contenido del portapapeles del computador. Tiene capacidades anti-depuración y utiliza comandos de suspensión para intentar evitar su análisis por soluciones de seguridad automatizadas.

Cómo proteger tu computadora de los virus: métodos y consejos

Una vez lanzado XLoader, muestra un error indicando que el software no funciona, mientras deja caer silenciosamente su carga útil e instala persistencia en segundo plano.

El malware crea una carpeta oculta en el directorio principal del usuario y construye un ejecutable dentro de esa carpeta, utilizando nombres aleatorios tanto para el nombre de la carpeta como para la aplicación. También se deja caer un LaunchAgent en la misma carpeta y se utiliza para la persistencia.

Luego, XLoader intenta disfrazar su verdadero servidor de comando y control enviando llamadas de red ficticias a aproximadamente 200 servidores no relacionados con el malware.

¿Cómo se distribuye XLoader?

Las muestras de malware descubiertas por SentinelOne llevan el nombre de OfficeNote.app y pretenden ser aplicaciones de Office al mostrar un icono que impersona a Microsoft Word. XLoader se entrega como una imagen de disco Apple estándar con el nombre OfficeNote.dmg.

Los investigadores observaron que varias muestras del nuevo malware XLoader aparecieron a lo largo de julio de 2023 en la plataforma VirusTotal, que es un sistema dedicado a ejecutar múltiples motores antivirus en archivos enviados. Esto es un indicio de que el malware se ha distribuido ampliamente en el entorno virtual.

La nueva versión de XLoader se publicita en los foros clandestinos de los ciberdelincuentes por $199 USD al mes o $299 USD al trimestre para su versión de Mac, mientras que la versión de Windows es más barata a $59 USD al mes o $129 USD al trimestre.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

El panel de control al que pueden acceder los clientes de XLoader se muestra como una captura de pantalla en los foros clandestinos para dar a los ciberdelincuentes información sobre sus funcionalidades y facilidad de uso.

¿Cómo puedes proteger tu empresa de la amenaza del malware XLoader?

Se desconoce la forma en que se entrega la imagen de disco Apple a los usuarios; los métodos más comunes para dicha entrega son a través de campañas de correo electrónico, descargas directas desde ubicaciones no confiables o a través de plataformas de redes sociales o mensajería instantánea. Para proteger tu empresa de la amenaza del malware XLoader, se recomienda enfáticamente:

• Monitorear el correo electrónico utilizando soluciones de seguridad que analicen todos los archivos adjuntos y enlaces para descargar archivos.
• Monitorear los registros de red en busca de cualquier terminal o servidor que de repente envíe muchas solicitudes de resolución DNS e inicie comunicaciones con muchos hosts o direcciones IP diferentes en cuestión de segundos.
• Ejecutar software de seguridad en todos los puntos finales y servidores para prevenir y detectar malware como XLoader.
• Prohibir a los usuarios descargar y ejecutar aplicaciones provenientes de tiendas o servidores de aplicaciones no confiables.
• Mantener actualizados todos los sistemas operativos, en este caso, particularmente macOS, a la última versión y parcheados para evitar ser comprometidos por vulnerabilidades comunes.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son propias.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El malware XLoader se actualiza y se hace pasar por una aplicación de Office en macOS , tenemos lo ultimo en tecnología 2023.