L’une des pires souches de malware Mac est de retour et se cache en tant qu’application de productivité – alors méfiez-vous
Si vous tombez sur une application qui prétend être une solution de productivité appelée OfficeNote, ignorez-la et éloignez-vous : il s’agit simplement d’un logiciel malveillant essayant de voler des données sensibles sur votre appareil macOS.
Des chercheurs en cybersécurité de SentinelOne ont récemment publié un article de blog détaillant leur découverte d’une toute nouvelle version de XLoader, un malware-as-a-service vieux de huit ans, désormais écrit dans un langage de programmation totalement différent, mais capable de faire autant de dégâts. autant de dégâts qu’avant.
Selon le rapport, XLoader est un voleur d’informations et un botnet capable de voler des secrets stockés dans les navigateurs des utilisateurs, et bien plus encore. Les anciennes versions ont été écrites en Java, mais étant donné que macOS ne le prend plus en charge par défaut, la nouvelle version est écrite à partir de zéro en C et Objective C. De plus, elle est livrée avec une signature de développeur Apple MAIT JAKHU (54YDV8NU9C). Les chercheurs n’ont pas précisé comment les attaquants ont obtenu cette signature.
Une popularité croissante
Quoi qu’il en soit, la signature a depuis été révoquée par Apple, mais le bloqueur de malware intégré à Cupertino, XProtect, n’a pas encore commencé à détecter le malware, disent-ils.
Le voleur d’informations devient extrêmement populaire, affirment en outre les chercheurs, affirmant que des « soumissions multiples » sont apparues sur VirusTotal le mois dernier, signe d’une popularité croissante. Sur le dark web, la version Mac du service coûte 199 $/mois, soit 200 $ par mois pendant trois mois – une hausse de prix considérable par rapport à la version Windows (59 $ par mois, ou 129 $ pendant trois mois).
Si vous finissez par installer « OfficeNote » sur votre point de terminaison, vous recevrez un message indiquant que l’application ne fonctionne pas. En arrière-plan, cependant, l’application fonctionne comme prévu, supprimant les charges utiles et installant des agents de persistance. S’il n’est pas coché, le malware tentera de voler des secrets dans le presse-papiers de l’utilisateur et recherchera des secrets dans Chrome et Firefox. Chose intéressante, Safari n’est pas ciblé.
Enfin, XLoader s’efforce de garder secret son serveur C2, en utilisant plusieurs appels réseau factices pour dérouter les chercheurs de leur piste. SentinelOne a observé 169 résolutions de noms DNS et 203 requêtes HTTP.