Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR) αναφέρει ότι ένα είδος κακόβουλου λογισμικού έχει εξελιχθεί για να κλέψει πληροφορίες χρηστών MacOS.
Με μόλις 49 δολάρια στο Darknet, οι χάκερ μπορούν να αγοράσουν άδειες για το νέο κακόβουλο λογισμικό, που τους επιτρέπει τη συλλογή log-in credentials και στιγμιότυπων οθόνης, την καταγραφή πληκτρολογήσεων και την εκτέλεση κακόβουλων αρχείων.
Ειδικότερα, όπως σημειώνει το τμήμα έρευνας της Check Point:
- Το 53% των θυμάτων, συμπεριλαμβανομένων χρηστών Mac και Windows, κατοικεί στις ΗΠΑ
- Χάκερς σε 69 χώρες έχουν υποβάλει αιτήσεις για το εξελιγμένο κακόβουλο λογισμικό
- Τα θύματα εξαπατώνται για να κατεβάσουν το κακόβουλο λογισμικό μέσω ψεύτικων μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν κακόβουλα έγγραφα του Microsoft Office.
- Το 2018, η Apple είχε εκτιμήσει ότι χρησιμοποιούνταν περισσότερα 100 εκατ. Mac.
Με την ονομασία «XLoader», το νέο στέλεχος είναι παράγωγο της διάσημης οικογένειας κακόβουλου λογισμικού «Formbook», η οποία στόχευε κυρίως χρήστες των Windows, αλλά εξαφανίστηκε από την κυκλοφορία το 2018. Το Formbook μετονομάστηκε σε XLoader το 2020. Τους τελευταίους έξι μήνες, το CPR κατά τη μελέτη των δραστηριοτήτων του XLoader, αντιλήφθηκε ότι είναι παραγωγικό, στοχεύοντας όχι μόνο τα Windows, αλλά προς έκπληξη της και τους χρήστες Mac.
Η διαδικασία μόλυνσης
Το XLoader εξαπλώνεται συνήθως μέσω ψεύτικων μηνυμάτων ηλεκτρονικού ταχυδρομείου που παρασύρουν τα θύματά τους να κατεβάσουν και να ανοίξουν ένα κακόβουλο αρχείο, συνήθως έγγραφα του Microsoft Office.
Η διαδικασία ανίχνευσης και αφαίρεσης
Δεδομένου ότι αυτό το κακόβουλο λογισμικό είναι κρυφό από τη φύση του, είναι πιθανό να είναι δύσκολο για ένα «μη τεχνικό» μάτι να αναγνωρίσει αν έχει μολυνθεί. Ως εκ τούτου, εάν υποψιάζεστε ότι έχετε μολυνθεί, θα ήταν συνετό να συμβουλευτείτε έναν επαγγελματία ασφαλείας ή να χρησιμοποιήσετε εργαλεία και προστασίες τρίτων που έχουν σχεδιαστεί για να εντοπίζουν, να μπλοκάρουν και ακόμη και να αφαιρούν αυτή την απειλή από τον υπολογιστή σας. Για περισσότερες τεχνικές λεπτομέρειες που θα σας βοηθήσουν, η CPR συνιστά να μεταβείτε στο Autorun και:
- Ελέγξτε το όνομα χρήστη σας στο λειτουργικό σύστημα
- Πηγαίνετε στο /Users/[username]/Library/LaunchAgents directory
- Ελέγξτε για ύποπτα ονόματα αρχείων σε αυτόν τον κατάλογο (το παρακάτω παράδειγμα είναι ένα τυχαίο όνομα)
/Users/user/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist
- Αφαιρέστε το ύποπτο αρχείο
Όπως αναφέρει σχετικά ο Yaniv Balmas, Head of Cyber Research, Check Point Software: «Στο πλαίσιο της καταγραφής του εγκλήματος στον κυβερνοχώρο, παρατηρήσαμε ενδιαφέρουσες εξελίξεις από τη γνωστή οικογένεια κακόβουλου λογισμικού «Formbook». Βλέπουμε ένα νέο στέλεχος κακόβουλου λογισμικού που προέρχεται από το αρχικό κακόβουλο λογισμικό Formbook.
Με την ονομασία «XLoader», αυτό το κακόβουλο λογισμικό είναι πολύ πιο ώριμο και εξελιγμένο από τους προκατόχους του, υποστηρίζοντας διαφορετικά λειτουργικά συστήματα, συγκεκριμένα υπολογιστές MacOS. Ιστορικά, το κακόβουλο λογισμικό MacOS δεν ήταν τόσο συνηθισμένο. Συνήθως εμπίπτουν στην κατηγορία του «spyware», χωρίς να προκαλούν μεγάλη ζημιά. Νομίζω ότι υπάρχει μια κοινή λανθασμένη πεποίθηση στους χρήστες MacOS ότι οι πλατφόρμες της Apple είναι πιο ασφαλείς από άλλες πιο ευρέως χρησιμοποιούμενες πλατφόρμες. Ενώ μπορεί να υπάρχει ένα χάσμα μεταξύ του κακόβουλου λογισμικού των Windows και του MacOS, το χάσμα αυτό κλείνει σιγά-σιγά με την πάροδο του χρόνου.
Περισσότερες απειλές
Η αλήθεια είναι ότι το κακόβουλο λογισμικό που στοχεύει τα MacOS γίνεται όλο και μεγαλύτερο και πιο επικίνδυνο. Τα πρόσφατα ευρήματά μας αποτελούν ένα τέλειο παράδειγμα και επιβεβαιώνουν αυτή την αυξανόμενη τάση. Με την αυξανόμενη δημοτικότητα των πλατφορμών MacOS, είναι λογικό οι εγκληματίες του κυβερνοχώρου να δείχνουν μεγαλύτερο ενδιαφέρον για αυτόν τον τομέα και προσωπικά αναμένω να δω περισσότερες απειλές στον κυβερνοχώρο που ακολουθούν την οικογένεια κακόβουλου λογισμικού Formbook.
Θα το σκεφτόμουν δύο φορές πριν ανοίξω συνημμένα αρχεία από μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνω από αποστολείς που δεν γνωρίζω».
