XLoader Menyamar sebagai OfficeNote
Platform apapun tidak ada yang benar-benar kebal terhadap ancaman siber, seperti malware Apple XLoader menyamar sebagai OfficeNote
Varian Xloader ini merupakan varian baru dari malware Apple macOS yang kembali aktif hadir di permukaan, menyamarkan fitur jahatnya dengan menyamar sebagai aplikasi kantor.
Menariknya, versi baru XLoader dibundel di dalam disk image Apple standar dengan nama OfficeNote.dmg yang merupajn bagian dari triknya.
Aplikasi yang ada di dalamnya ditandatangani dengan tanda tangan pengembang MAIT JAKHU (54YDV8NU9C).
|
Baca juga: Mac dan Ancaman Siber |
Malware XLoader
XLoader, pertama kali terdeteksi pada tahun 2020, dianggap sebagai penerus Formbook dan merupakan pencuri informasi dan keylogger yang ditawarkan di bawah model Malware as a Service (MaaS).
Varian macOS dari malware muncul pada Juli 2021, didistribusikan sebagai program Java dalam bentuk file .JAR yang dikompilasi.
“File semacam itu memerlukan Java Runtime Environment, dan karena alasan itu file .jar berbahaya tidak akan dijalankan pada instalasi macOS di luar kotak, karena Apple menghentikan pengiriman JRE dengan Mac lebih dari satu dekade yang lalu,” catat perusahaan keamanan siber saat itu. .
Iterasi terbaru XLoader mengatasi batasan ini dengan beralih ke bahasa pemrograman seperti C dan Objective C, dengan file disk image ditandatangani pada 17 Juli 2023. Sejak itu Apple telah mencabut tanda tangannya.
|
Baca juga: Spyware CloudMensis Susupi |
XLoader Disewakan Susupi MacOS.
Diketahui belakangan terdeteksi banyak pengiriman artefak di VirusTotal sepanjang bulan Juli 2023, yang menunjukkan operasi yang meluas.
Iklan di forum crimeware menawarkan versi Mac untuk disewa dengan harga $199/bulan atau $299/3 bulan, kata para peneliti.
Menariknya, ini relatif mahal dibandingkan dengan varian Windows dari XLoader, yang harganya $59/bulan dan $129/3 bulan.
|
Baca juga: Penelitian Terbaru Serangan Terhadap MacOS dan iOS |
Cara Kerja XLoader
Setelah dijalankan, OfficeNote melontarkan pesan kesalahan yang mengatakan “tidak dapat dibuka karena item asli tidak dapat ditemukan”, namun kenyataannya, ia menginstal Agen launcher di latar belakang untuk persistensi.
XLoader dirancang untuk memanen data clipboard serta informasi yang disimpan di direktori yang terkait dengan browser web seperti Google Chrome dan Mozilla Firefox. Tapi Safari tidak ditargetkan.
Selain mengambil langkah-langkah untuk menghindari analisis baik secara manual maupun dengan solusi otomatis, malware dikonfigurasikan untuk menjalankan perintah ‘sleep’ untuk menunda pelaksanaannya dan menghindari munculnya tanda bahaya.
XLoader terus menghadirkan ancaman bagi pengguna dan bisnis macOS, para peneliti menyimpulkan.
Iterasi terbaru yang menyamar sebagai aplikasi produktivitas kantor ini menunjukkan bahwa target yang menarik jelas adalah pengguna di lingkungan kerja.
Malware mencoba mencuri rahasia browser dan clipboard yang dapat digunakan atau dijual ke pelaku ancaman lain untuk kompromi lebih lanjut.
Sumber berita:
