Skip to main content

Значок приложения Microsoft Word

XLoader — это вредоносный инструмент, который существует уже много лет, и теперь он снова выползает из темноты, сосредоточившись на рабочих средах.

XLoader — один из наиболее распространенных инструментов, которые злоумышленники используют для получения информации из зараженных систем. Когда XLoader появился в macOS в 2021 году, он был объявлен четвертым наиболее часто используемым инструментом в этом году.

В отличие от 2021 года, этот последний вариант XLoader не предназначен строго для среды выполнения Java, а это означает, что он может быть гораздо более опасным. Эта последняя форма написана на языках программирования C и Objective C и, как отмечает SentinelOne, подписана подписью разработчика Apple.

Последней обложкой XLoader является приложение для повышения производительности Office под брендом Microsoft под названием «OfficeNote». Он распространяется в рамках стандартного образа диска Apple с именем «OfficeNote.dmg», что автоматически является тем, на что вам следует обращать внимание, особенно в рабочей среде.

Подпись разработчика — «MAIT JAKHU (54YDV8NU9C)», еще одна ключевая деталь, о которой следует знать.

Согласно исходному отчету, Apple уже отозвала эту подпись разработчика. Однако SentinelOne сообщает: «Инструмент Apple для блокировки вредоносного ПО, XProtect, не имеет сигнатуры для предотвращения запуска этого вредоносного ПО» на момент публикации.

Этот конкретный вредоносный инструмент, по-видимому, был широко распространен с июля 2023 года, когда он впервые появился.

А инструменты вредоносных программ для macOS стоят дороже, основываясь на рекламе, найденной на форумах криминального ПО. Аренда этого варианта XLoader стоит 199 долларов в месяц или 299 долларов за три месяца.

Сравните это с 59 долларами в месяц или 129 долларами за три месяца, за которые обычно сдается версия на базе Windows.

Если человек все же установит вредоносное ПО XLoader в свою систему, он сразу же нацелится на два популярных браузера: Chrome и Firefox. Затем он попытается украсть информацию, хранящуюся в буфере обмена пользователя, через собственный API Apple.

Вредоносный инструмент XLoader скрывается под

Вредоносный инструмент XLoader скрывается под именем «OfficeNote.app». Источник изображения: SentinelOne

Safari от Apple не предназначен для этого варианта XLoader.

После установки вредоносный инструмент автоматически помещает свою полезную нагрузку в домашний каталог пользователя и запускается. Затем он создаст скрытый каталог и базовое приложение, а затем LaunchAgent будет добавлен в библиотеку пользователя.

Этот вариант XLoader специально разработан для рабочих сред, и группам ИТ-безопасности рекомендуется устанавливать сторонние службы, предназначенные для выявления вредоносных программ, чтобы предотвратить их установку.

Как оставаться в безопасности

Как упоминалось выше, использование службы безопасности программного обеспечения, которая может идентифицировать вредоносные инструменты, такие как этот, важно, особенно для бизнеса. И, конечно же, еще один простой способ обезопасить себя и избежать вредоносных программ — избегать загрузки любого программного обеспечения или приложений, которые вы не узнаете.

macOS по-прежнему является более безопасным вариантом, когда речь идет о таких вредоносных инструментах, но количество угроз растет. Существуют даже атаки, разработанные для Apple Silicon. Будьте бдительны, даже если вы используете Mac.