MacOS es elegido por el XLoader Data Stealer de $ 49 - Calendae | Informática, Electrónica, CMS, Ciberseguridad

MacOS es elegido por el XLoader Data Stealer de $ 49

Hola, un placer verte por aquí. Te escribe Eduardo Arroyo y en el día de hoy hablaremos sobre MacOS es elegido por el XLoader Data Stealer de $ 49

MacOS es elegido por el XLoader Data Stealer de $ 49

Barato, fácil y prolífico, la nueva versión del antiguo ladrón de formularios y registrador de teclas de FormBook ha agregado a los usuarios de Mac a su lista de resultados y se está vendiendo como pan caliente.

Hay una nueva versión del antiguo robador de formularios y registrador de teclas FormBook que ha agregado usuarios de Mac a su lista de resultados y se vende como pan caliente en los mercados clandestinos a partir de $ 49.

No solo es barato; es fácil. El ladrón de datos se distribuye en forma de malware como servicio (MaaS) y se distingue del malware de la competencia por su facilidad de uso, incluso equipando los maniquíes de código con una herramienta de malware multipropósito.

en un relación Publicado el miércoles, los analistas de Check Point Research (CPR) dijeron que la nueva variedad FormBook, que estaba dirigida principalmente a usuarios de Windows cuando apareció por primera vez en foros de piratería en 2016, se llama XLoader. Según el informe, FormBook desapareció de los mercados de malware en 2018, solo para ser rebautizado como XLoader en 2020.

Durante los últimos seis meses, XLoader ha estado muy ocupado, apuntando prolíficamente a los usuarios de Windows, pero también mordisqueando su nuevo amor: a saber, «para sorpresa de CPR», los usuarios de Mac.

Las licencias de XLoader comienzan en $ 49, un precio que ofrecerá incluso a los atacantes cibernéticos más inexpertos y con fondos insuficientes una herramienta que pueden usar para recopilar credenciales de inicio de sesión, recopilar capturas de pantalla, registrar pulsaciones de teclas y ejecutar archivos maliciosos.

Check Point monitoreó las solicitudes entrantes de XLoader de atacantes ansiosos en 69 países. La mayoría de los objetivos, el 53 por ciento, se encuentran en los Estados Unidos, incluidos los usuarios de Mac y Windows.

El desglose de víctimas por país se presenta en el siguiente gráfico de barras:

Se engaña a las víctimas para que descarguen XLoader a través de correos electrónicos falsificados que contienen documentos maliciosos de Microsoft Office.

De un humilde registrador de teclas a un malware candente

A partir de diciembre, como Check Point informó En ese momento, FormBook era la tercera familia de malware más prevalente. Solo fue superado por Emotet en el no. 1 (cuyos servidores fueron dados de baja a nivel mundial en enero) y el malware troyano / ransomware bancario TrickBot, que ocupó el puesto número 1. 2.

Rastreador de tendencias de malware AnyRun lo confirma: a partir del martes por la noche, FormBook se clasificó como el tercer campeón más vidente de millones en la semana anterior, y su popularidad estaba creciendo. Entre junio de 2020 y junio de 2021, AnyRun clasificó a FormBook como la cuarta familia de malware más prevalente.

Esto no es lo que tenía en mente el autor del malware. Al principio, se suponía que era solo un keylogger, lo que es más. Al menos en 2016, los atacantes podrían alquilar FormBook MaaS por tan solo $ 29 por semana.

Precio inicial del FormBook. Fuente: puesto de control.

Pero los clientes detectaron rápidamente su potencial para ser utilizado en extensas campañas de spam para su uso en todo el mundo, explicaron los investigadores. Cuando el potencial se hizo realidad, el autor, «ng-Coder», a quien los investigadores de Check Point decidieron que era un «él», dejó de vender FormBook. El autor no quería que la herramienta se usara en campañas de correo electrónico y, de hecho, había prohibido a los clientes usarla para enviar spam. Ng-Coder lanzó una publicación final en mayo de 2018 y luego el negocio FormBook del fabricante de malware se detuvo.

O, al menos, su negocio se ha oscurecido. los investigadores teorizan que ng-Coder pudo haber tenido sus propios planes para su creación, dado el análisis de los dominios vinculados a su dirección de correo electrónico, ng2coder [at] gmail.com. En las campañas de FormBook se utilizaron dieciséis dominios únicos de comando y control (C2) vinculados a esa dirección.

El negocio de FormBook continuó, pero tenía un sándwich en el horno. El 6 de febrero de 2020, la sucursal renombrada de XLoader salió a la venta en un foro clandestino, el mismo en el que se vendió FormBook, con un nuevo avatar. (Check Point señala que el malware XLoader para PC y Mac no debe confundirse con el malware XLoader para Android [aka Roaming or MoqHao], un troyano de puerta trasera y malware de Android que utiliza la suplantación del sistema de nombres de dominio (DNS) para distribuir aplicaciones de Android infectadas).

Los investigadores estaban intrigados por la capacidad de XLoader para operar en macOS, que era «una de las cosas más interesantes del nuevo malware», y se emocionaron. «Con alrededor de 100 millones de usuarios que usaron macOS en 2018 (según lo informado por Apple), este era sin duda un nuevo mercado prometedor para la entrada de malware «.

El envío hizo esto, por supuesto, dada la forma en que se ubicó en las clasificaciones de malware.

Instrucciones estándar de CYA

Check Point nos aconseja a todos que dejemos de impulsar la tasa de éxito de XLoader siguiendo algunas precauciones estándar para los usuarios de Mac y Windows:

  • No abra archivos adjuntos sospechosos.
  • Manténgase alejado de sitios web sospechosos.
  • Utilice software de seguridad de terceros para identificar y prevenir comportamientos maliciosos en su computadora.

En lo que respecta a la detección y eliminación, este malware es notoriamente difícil de detectar, aunque AnyRun ofrece el siguiente video para obtener instrucciones sobre la detección de FormBook. Por lo que vale, la progenie de XLoader comparte la misma base de código que su FormBook padre.

Por otra parte, tal vez debería dejarlo en manos de los profesionales, sugirieron los analistas. «Dado que este malware [stealthy] en la naturaleza, es probable que un ojo ‘no técnico’ reconozca si han sido infectados «, dijeron.» Por lo tanto, si sospecha que ha sido infectado, sería prudente consultar a un profesional de seguridad o utilizar herramientas y protecciones de terceros diseñadas para identificar, bloquear e incluso eliminar esta amenaza de su computadora «.

Para obtener detalles técnicos adicionales que faciliten la detección y eliminación, Check Point recomienda utilizar la función de ejecución automática del Explorador de Windows para:

  1. Verifique su nombre de usuario en el sistema operativo.
  2. Vaya a / Usuarios /[username]directorio / Biblioteca / LaunchAgents.
  3. Busque nombres de archivos sospechosos en este directorio (dieron este nombre aleatorio como ejemplo: /Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist).
  4. Elimina el archivo sospechoso.

Yaniv Balmas, jefe de investigación informática de Check Point, calificó a XLoader como «mucho más maduro y sofisticado que sus predecesores», ya que se sentía como en casa en las computadoras MacOS: un entorno que históricamente no ha acogido el malware.

«El malware de MacOS no ha sido tan común», dijo Balmas en un comunicado. «Por lo general, entran en la categoría de ‘software espía’, que no causa demasiado daño».

Pero XLoader es solo el último ejemplo de cómo la brecha se ha reducido constantemente en lo que respecta a la prevalencia del malware para PC frente a macOS, continuó Balmas. «La verdad es que el malware de MacOS se está volviendo más grande y más peligroso», dijo. «Nuestros resultados recientes son un ejemplo perfecto y confirman esta tendencia creciente».

A la gente le encantan sus Mac. Por lo tanto, la situación del malware seguramente empeorará, predijo Balmas. “Con la creciente popularidad de las plataformas MacOS, tiene sentido que los ciberdelincuentes muestren más interés en este dominio y personalmente espero ver más ciberamenazas después de la familia de malware FormBook. Me lo pensaría dos veces antes de abrir archivos adjuntos a correos electrónicos que recibo de remitentes que no conozco «.

.

Recuerda compartir en una historia de tu Instagram para que tus amigos lo lean

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *