-
30/08/2016
-
319
-
448 bài viết
Mã độc XLoader đánh cắp thông tin đăng nhập trên macOS và Windows
Mã độc phổ biến đánh cắp thông tin từ Windows đã được nâng cấp thành một loại mới có tên là XLoader, mã độc này cũng nhắm mục tiêu đến hệ thống người dùng MacOS
XLoader hiện đang được cung cấp trên một diễn đàn Underground dưới dạng dịch vụ cung cấp botnet có thể "khôi phục" mật khẩu từ trình duyệt web và một số ứng dụng email (Chrome, Firefox, Opera, Edge, IE, Outlook, Thunderbird, Foxmail).
Mối liên hệ giữa hai phần mềm độc hại đã được xác nhận sau khi một thành viên trong cộng đồng của XLoader dịch ngược mã nguồn và nhận thấy rằng nó có cùng tệp thực thi như Formbook.
Tài khoản Xloader rao bán phần mềm giải thích rằng nhà phát triển của Formbook đã đóng góp rất nhiều vào việc tạo XLoader và hai phần mềm độc hại này có chức năng tương tự nhau (ăn cắp thông tin đăng nhập, chụp ảnh màn hình, keylogger và thực thi các tệp độc hại).
Khách hàng có thể thuê phiên bản mã độc cho macOS với giá 49 đô la (một tháng) và có quyền truy cập vào máy chủ mà người bán cung cấp. Thông qua việc triển khai cơ sở hạ tầng kiểm soát và các mã lệnh đã lập trình sẵn, các tác giả có thể kiểm soát cách khách hàng sử dụng mã độc này.
Phiên bản Windows đắt hơn vì người bán yêu cầu 59 đô la cho giấy phép một tháng và 129 đô la cho ba tháng.
Như đã đề cập trong quảng cáo, các nhà sản xuất XLoader cũng cung cấp miễn phí Java binder, cho phép khách hàng tạo tệp JAR độc lập với các tệp nhị phân Mach-O và EXE được sử dụng bởi macOS và Windows.
Theo dõi hoạt động trong 6 tháng của XLoader tính đến ngày 1 tháng 6, các nhà nghiên cứu phần mềm độc hại tại Check Point đã thấy các yêu cầu từ 69 quốc gia, cho thấy mức độ lây lan đáng kể trên toàn cầu, với hơn một nửa số nạn nhân là ở Hoa Kỳ.
Mặc dù Formbook không còn được quảng cáo trên các diễn đàn Underground, nó vẫn tiếp tục là một mối đe dọa phổ biến. Nó là một phần của ít nhất 1.000 chiến dịch phần mềm độc hại trong ba năm qua và theo bảng xếp hạng trending của AnyRun, nó chiếm vị trí thứ tư trong 12 tháng qua, sau Emotet.
Nếu mức độ phổ biến của Formbook là một dấu hiệu đang lo ngại thì XLoader có khả năng sẽ phổ biến hơn vì nó nhắm mục tiêu đến hai hệ điều hành phổ biến nhất được người tiêu dùng sử dụng.
Các nhà nghiên cứu của Check Point nói rằng XLoader đủ khả năng “tàng hình” để khiến người dùng thông thường, không am hiểu kỹ thuật khó phát hiện ra nó. Họ khuyên bạn nên sử dụng tính năng Autorun của macOS để kiểm tra tên người dùng trong HĐH, xem thư mục LaunchAgents [/ Users / Library / LaunchAgents] và xóa các mục nhập có tên tệp đáng ngờ. Yaniv Balmas, Trưởng phòng Nghiên cứu Mạng tại Check Point Software, nói rằng XLoader “đã phát triển và tinh vi hơn nhiều so với các phiên bản tiền nhiệm”.
Sự phổ biến ngày càng tăng của macOS khiến nó phải hứng chịu sự chú ý không mong muốn từ tội phạm mạng, những kẻ hiện đang coi hệ điều hành này như một mục tiêu hấp dẫn. “Mặc dù có thể có khoảng cách giữa số lượng phần mềm độc hại trên Windows và MacOS, nhưng khoảng cách này đang dần thu hẹp theo thời gian. Sự thật là phần mềm độc hại MacOS ngày càng lớn và nguy hiểm hơn”. Các nhà nghiên cứu tin rằng sẽ có nhiều họ mã độc sớm tương thích với macOS và liệt nó danh sách mục tiêu tiềm năng trong tương lai.
Mối liên hệ giữa hai phần mềm độc hại đã được xác nhận sau khi một thành viên trong cộng đồng của XLoader dịch ngược mã nguồn và nhận thấy rằng nó có cùng tệp thực thi như Formbook.
Tài khoản Xloader rao bán phần mềm giải thích rằng nhà phát triển của Formbook đã đóng góp rất nhiều vào việc tạo XLoader và hai phần mềm độc hại này có chức năng tương tự nhau (ăn cắp thông tin đăng nhập, chụp ảnh màn hình, keylogger và thực thi các tệp độc hại).
Khách hàng có thể thuê phiên bản mã độc cho macOS với giá 49 đô la (một tháng) và có quyền truy cập vào máy chủ mà người bán cung cấp. Thông qua việc triển khai cơ sở hạ tầng kiểm soát và các mã lệnh đã lập trình sẵn, các tác giả có thể kiểm soát cách khách hàng sử dụng mã độc này.
Phiên bản Windows đắt hơn vì người bán yêu cầu 59 đô la cho giấy phép một tháng và 129 đô la cho ba tháng.
Như đã đề cập trong quảng cáo, các nhà sản xuất XLoader cũng cung cấp miễn phí Java binder, cho phép khách hàng tạo tệp JAR độc lập với các tệp nhị phân Mach-O và EXE được sử dụng bởi macOS và Windows.
Theo dõi hoạt động trong 6 tháng của XLoader tính đến ngày 1 tháng 6, các nhà nghiên cứu phần mềm độc hại tại Check Point đã thấy các yêu cầu từ 69 quốc gia, cho thấy mức độ lây lan đáng kể trên toàn cầu, với hơn một nửa số nạn nhân là ở Hoa Kỳ.
Mặc dù Formbook không còn được quảng cáo trên các diễn đàn Underground, nó vẫn tiếp tục là một mối đe dọa phổ biến. Nó là một phần của ít nhất 1.000 chiến dịch phần mềm độc hại trong ba năm qua và theo bảng xếp hạng trending của AnyRun, nó chiếm vị trí thứ tư trong 12 tháng qua, sau Emotet.
Nếu mức độ phổ biến của Formbook là một dấu hiệu đang lo ngại thì XLoader có khả năng sẽ phổ biến hơn vì nó nhắm mục tiêu đến hai hệ điều hành phổ biến nhất được người tiêu dùng sử dụng.
Các nhà nghiên cứu của Check Point nói rằng XLoader đủ khả năng “tàng hình” để khiến người dùng thông thường, không am hiểu kỹ thuật khó phát hiện ra nó. Họ khuyên bạn nên sử dụng tính năng Autorun của macOS để kiểm tra tên người dùng trong HĐH, xem thư mục LaunchAgents [/ Users / Library / LaunchAgents] và xóa các mục nhập có tên tệp đáng ngờ. Yaniv Balmas, Trưởng phòng Nghiên cứu Mạng tại Check Point Software, nói rằng XLoader “đã phát triển và tinh vi hơn nhiều so với các phiên bản tiền nhiệm”.
Sự phổ biến ngày càng tăng của macOS khiến nó phải hứng chịu sự chú ý không mong muốn từ tội phạm mạng, những kẻ hiện đang coi hệ điều hành này như một mục tiêu hấp dẫn. “Mặc dù có thể có khoảng cách giữa số lượng phần mềm độc hại trên Windows và MacOS, nhưng khoảng cách này đang dần thu hẹp theo thời gian. Sự thật là phần mềm độc hại MacOS ngày càng lớn và nguy hiểm hơn”. Các nhà nghiên cứu tin rằng sẽ có nhiều họ mã độc sớm tương thích với macOS và liệt nó danh sách mục tiêu tiềm năng trong tương lai.
Theo Bleepingcomputer