XLoader 是一种非常便宜的恶意软件,它基于流行的Formbook Windows 恶意软件。

FormBook 是一种用于网络间谍活动的数据窃取恶意软件,与其他间谍软件一样,它能够从 HTTP 会话中提取数据、击键记录、窃取剪贴板内容。FormBook 还可以从命令和控制 (C2) 服务器接收命令以执行许多恶意活动,例如下载更多有效负载。FormBook 自 7 月起在地下犯罪组织出售,每周售价 29 美元,最高可达 299 美元的全包“专业”交易。客户支付访问平台的费用并生成他们的可执行文件作为服务。

该恶意软件于 2017 年停止销售,但它继续感染世界各地的系统。2020 年 3 月,MalwareHunterTeam发现 了一个以冠状病毒 (COVID-19) 为主题的活动,该活动正在分发恶意软件下载程序,该程序会提供窃取 FormBook 信息的木马程序。

自 XLoader 于 2 月份首次出现在威胁环境中以来,CPR 团队现已对其进行了监控。XLoader 借用了 Formbook 的代码库,但也包括重大改进,例如妥协 macOS 系统的能力。

“2020 年 2 月 6 日,一个新时代开始了:Formbook 继任者 XLoader 的时代。这一天,XLoader 被一个地下组织打广告出售。” 陈述了CheckPoint 发布的报告。 “2020 年 10 月 20 日,XLoader 在用于销售 Formbook 的同一论坛上出售。”

攻击向量由网络钓鱼消息表示,攻击者利用使用武器化 Microsoft Office 文档作为附件的欺骗电子邮件。 

XLoader 通过经典的恶意软件即服务模式提供给客户,其卖家不提供威胁来源,仅提供出租。目前尚不清楚卖家是否是 Formbook 的作者,即 ng-Coder,但专家发现了这两个角色之间存在联系的证据,例如 xloader 给 ng-Coder 的消息说,“谢谢你的帮助” :

“与 Formbook 相比,该恶意软件现在为作者提供了更有利可图的经济模型。客户只能在有限的时间内购买恶意软件,并且只能使用卖家提供的服务器;不再出售面板源代码。因此,使用了“恶意软件即服务”方案。集中的 C&C 基础设施允许作者控制客户如何使用恶意软件。” 继续报告。

以下是卖家的报价:

  • Windows,可执行文件,1 个月 59 美元
  • Windows,可执行文件,3 个月 129 美元
  • macOS,Mach-O,1 个月 49 美元
  • macOS,Mach-O,3 个月 99 美元

在 2020 年 12 月 1 日至 2021 年 6 月 1 日期间,研究人员看到来自多达 69 个国家/地区的 Formbook/XLoader 请求,其中大部分来自美国 (53%)。

为了避免检测,恶意软件使用扩展的 C2 网络。在网络通信中使用的近 90,000 个域中,只有 1,300 个是真正的 C2 服务器。其余 88,000 个域是合法站点,但是,恶意软件也会向它们发送恶意流量。该技术旨在使安全供应商跟踪真实 C&C 服务器的工作复杂化。

XLoader 中实施的新功能及其低廉的价格表明 MacOS 恶意软件正在成为网络犯罪生态系统的特权目标。

XLoader 间谍软件 数据窃取恶意软件 网络间谍活动 FormBook
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接