Allerta XLoader, il ritorno del temuto malware macOS: com'è cambiato?

Una variante macOS del malware noto come XLoader sembra essere protagonista di una nuova e preoccupante campagna.

La nuova versione dell'infostealer, a quanto pare, per mascherare le proprie attività sta utilizzando le false spoglie di un'app legata alla produttività in ufficio, ovvero OfficeNote.

XLoader è di certo un nome noto agli esperti di sicurezza: attivo dall'ormai lontano 2015, questo è stato analizzato e catalogato dagli addetti ai lavori solo nel 2021. La variante originale veniva distribuita sfruttando Java Runtime Environment, il che rendeva il malware escluso dall'ambiente macOS.

Secondo i ricercatori di SentinelLabs, però, ciò è cambiato con la nuova variante, capace di agire liberamente anche nell'ecosistema Apple.

Gli esperti di sicurezza hanno potuto osservare vari casi di infezione, traendo diverse conclusioni sul suo modus operandi. A tal proposito, si sono espressi anche Dinesh Devadoss e Phil Stokes di SentinelLabs secondo cui "Quest'ultima iterazione mascherata da applicazione per la produttività dell'ufficio dimostra che gli obiettivi di interesse sono chiaramente gli utenti in un ambiente di lavoro".

I ricercatori hanno affermato che la versione più recente del malware è scritta nei linguaggi di programmazione C e Objective-C ed è inclusa in un'immagine disco standard di Apple chiamata OfficeNote.dmg, completa di una firma dell'applicazione ora revocata dal colosso di Cupertino.

Per i suddetti ricercatori "Nonostante ciò, i nostri test indicano che lo strumento di blocco del malware di Apple, XProtect, non dispone di una firma per impedire l'esecuzione di questo malware finora".

Come agisce la nuova versione di XLoader

Dopo che il malware è stato eseguito, mostra alla vittima un messaggio di errore. Questo informa l'utente che l'applicazione non funziona.

Tuttavia, in background XLoader sta installando in quello stesso momento il payload, oltre a LaunchAgent, cercando allo stesso tempo di eludere i sistemi di sicurezza.

"XLoader utilizza una serie di chiamate di rete fittizie per mascherare il vero C2" hanno affermato i ricercatori, aggiungendo poi "Abbiamo osservato 169 risoluzioni di nomi DNS e 203 richieste HTTP. Tra i tanti host contattati dal malware ci sono i seguenti indirizzi IP sospetti o dannosi".

La variante XLoader sfrutta anche diverse tecniche utilizzate dalle versioni precedenti. Ad esempio, il messaggio di errore inviato alle vittime è codificato utilizzando una tecnica di stack string, su cui si basavano le varianti precedenti.

Una volta scaricato, XLoader mira a rubare i dati di accesso da vari browser e dagli appunti della vittima. I ricercatori hanno affermato che questi dati potrebbero essere venduti ad altri autori di minacce o utilizzati per ulteriori compromissioni.