En billig, enkel och lönsam ny version av den gamla FormBook form-stealer och keylogger har lagt till Mac användare till sin målgrupp, och den säljer som smör för $49 på Darknet. Det är inte bara billigt, det är lätt! XLoader distribueras via så kallad malware-as-a-service (MaaS) och utmärker sig från konkurrerande malware genom att vara busenkelt att använda, vilket t.o.m. utrustar ”code dummies” med ett multiverktyg med skadlig kod.

I en rapport från i onsdags säger analytiker på Check Point Research (CPR) att den nya versionen av FormBook vilket huvudsakligen var riktad mot Windows användare när den först dök upp under 2016, nu döpts till XLoader. Enligt rapporten försvann FormBook under 2018, senare omdöpt till XLoader under 2020.

Under de senaste halvåret har XLoader varit flitigt använt och lönsamt riktats mot Windows användare, men också börjat gnaga på sin nyfunna kärlek Mac användare.

Check Point har spårat XLoader anrop från ivriga angripare i 69 länder. Den största målgruppen 53% återfinns i USA, inkluderat både Mac och Windows användare. Offren luras till att ladda ner XLoader via förfalskad e-post vilka innehåller skadlig kod inbakat i Microsoft Word dokument.

Från enkel Keylogger till glödhet Malware

I december när Check Point rapporterade var FormBook nummer tre av de härskande malware familjerna. Emotet på första plats (vars servrar blev globalt nedmonterade i januari) och TrickBot bank-trojanen/kryptovirus på andra plats. Detta bekräftas av AnyRun Malware Trends Tracker som i tisdags kväll rankade XLoader på tredje mest sedda exempel utav miljoner under föregående vecka, och klättrar i popularitet. Mellan juni 2020 och juni 2021 rankade AnyRun FormBook som den fjärde mest dominerande malware familjen.

Detta var kanske inte vad skaparen hade som avsikt. Till en början var det bara meningen som en enkel och billigt ”keylogger”. Åtminstone under 2016 kunde kriminella hyra FormBook MaaS för så lite som $29/vecka.

Genom att kunder snabbt såg potential för dess möjlighet att användas i breda spamkampanjer över hela världen. När denna möjlighet blev verklig slutade skaparen att sälja FormBook och stoppade kunder från att använda den för detta ändamål. Skaparen Ng-Coder gjorde ett sista inlägg i maj 2018, därefter upphörde all FormBook aktivitet.

Eller åtminstone gick under jorden. Forskare spekulerar i att Ng-Coder kan ha haft sina egna planer för sin skapelse. Utifrån analys av de domäner som länkades till hans e-postadress kan 16 unika command-and-control (C2) domäner kopplade länkas till FormBook kampanjer.

FormBook aktivitet fortlöpte, men det fanns ”en bulle i ugnen”. Den 6:e februari 2020 listades den omdöpta XLoader till salu i ett underjordsforum, samma som FormBook såldes på. Utredare blev fascinerade av XLoader förmåga att fungera i macOS, vilket var en av de mest uppseendeväckande sakerna med detta nya malware. Med sina 100 miljoner användare som kör macOS 2018 (enligt Apple) var detta definitivt en lovande ny marknad för malware.

Vilket uppenbarligen också blev fallet med tanke på dess snabbt stigande ranking bland malware.

Standardåtgärder CYA Instruktioner

Check Point förordar att vi alla kan stoppa XLoaders framfart genom att följa några försiktighetsåtgärder både för Mac och Windows användare:

  • Öppna inte misstänksamma bilagor
  • Håll er borta från skumma webbsidor
  • Använd tredjeparts skyddsprogram för att hjälpa till att identifiera och hindra skadligt beteende på våra datorer.

När det kommer till identifiering och borttagning av XLoader är det vida ökänt svårt att identifiera, AnyRun erbjuder instruktioner för hur FormBook kan identifieras. För vad det kan vara värt delar XLoader kod med sin föregångare. Skulle du misstänka att du drabbats är det kanske ändå bäst att kontakta en expert på området, då XLoader är mycket ljusskygg är det sannolikt att du kan ha svårt att avgöra och åtgärda en infektion.

Ytterligare tekniska detaljer för att hjälpa till att identifiera och ta bort XLoader rekommenderar Check Point att ta en närmre titt på Windows AutoRun funktion.

  1. Ta först backup på din dator.
  2. Ta reda på ditt användarnamn i ditt operativsystem.
  3. Gå till katalogen /Users/[användarnamn]/Library/LaunchAgents
  4. Kolla efter misstänkta filnamn i denna katalog, (de gav ett exempel: /Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist).
  5. Ta bort den misstänkta filen.

Yaniv Balmas chef för cyberforskning på Check Point, säger att XLoader är mycket mer mogen och sofistikerad än dess föregångare, utifrån att den funnit sig till rätta på MacOS datorer, en miljö där malware inte funnit sig till rätta historiskt.

”MacOS malware har inte varit vanliga, utan har oftast varit av kategorin spyware vilka sällan orsakar större skada.

XLoader är bara det senaste exemplet på hur framgångsrika malware är på PC vs. MacOS gapet mellan dem emellan krymper. Sanningen är att MacOS malware blir allt större och farligare.

Användare älskar sina Maccar, därför är det oundvikligt att problemet kommer bli allt större. Med stigande popularitet av MacOS som plattform är det inte konstigt att cyberkriminella visar större intresse för plattformen. Yaniv förväntar sig fler cyberhot följer FormBook malware familjen. ”Jag skulle verkligen tänka sig för mer än en gång innan han öppnar någon bilaga i e-post från avsändare han inte känner,” säger Yaniv.

Här vill vi påpeka att det inte bara är okända avsändare som du bör se upp med, oftast utger de sig för att vara någon inom din organisation genom att dölja den verkliga avsändaradressen och därmed vinna ditt förtroende. Med andra ord, var försiktig med alla bilagor som du tar emot. ett säkrare alternativ kan vara att arbeta med gemensamma dokument i en plattform som Google Workspace eller Microsoft Sharepoint, dvs dokumenten ligger still i molnet och skickas inte via e-post.

Ursprunglig artikel av Lisa Vaas från Threatpost

https://threatpost.com/macos-49-xloader-data-stealer/167971/