- Một biến thể mới của mã độc XLoader đã xuất hiện trên Apple macOS. Mã độc này bị phát hiện đang che giấu các chức năng độc hại dưới vỏ bọc của ứng dụng văn phòng “OfficeNote”.
Phiên bản mới của mã độc XLoader được ngụy trang dưới hình ảnh của một ổ đĩa thông thường của Apple có tên “OfficeNote.dmg” và có chữ ký của nhà phát triển “MAIT JAKHU (54YDV8NU9C)”.
XLoader lần đầu được phát hiện vào năm 2020 và được xem là phiên bản cập nhật của Formbook. Mã độc này có khả năng đánh cắp thông tin và keylog được cung cấp dưới dạng malware-as-aservice (MaaS - mã độc dạng dịch vụ). Biến thể của mã độc xuất hiện trên macOS vào tháng 07/2021 và được phát tán thông qua chương trình Java trên file .JAR.
Theo các chuyên gia bảo mật, việc Apple ngừng cung cấp Java Runtime Environment (JRE) kèm theo macOS mới đã khiến cho các tệp .JAR độc hại không thể thực thi trên macOS mới vì những tệp này yêu cầu sử dụng JRE.
Ảnh minh họa |
Trong phiên bản mới nhất của XLoader, mã độc này đã vượt qua sự hạn chế này bằng cách chuyển sang sử dụng các ngôn ngữ lập trình C và Objective C, với tệp ảnh ổ đĩa được ký vào ngày 17/7/2023. Hiện tại, Apple đã thu hồi chữ ký của tệp ảnh này.
Một công ty bảo mật đã phát hiện nhiều dấu vết được tải lên trang VirusTotal trong suốt tháng 7 năm nay, cho thấy sự tồn tại của một chiến dịch lây lan rộng của mã độc này.
Sau khi thực thi, OfficeNote hiển thị một thông báo lỗi “không thể mở do không thể tìm thấy tệp gốc”. Điều này là một chiêu trò để lừa đảo trong khi thực tế, mã độc này đang cài đặt một ứng dụng tên là “Launch Agent” ẩn trong hệ thống để duy trì việc kết nối.
XLoader được tạo ra để thu thập dữ liệu từ clipboard cũng như thông tin trong các thư mục của các trình duyệt như Google Chrome và Firefox. Mã độc này cũng được cấu hình để chạy các lệnh ngủ nhằm trì hoãn việc thực thi, từ đó không để lại bất kỳ dấu vết nào quá lộ liễu để tránh bị phát hiện.
Theo nhận định từ các chuyên gia, nếu các thông tin này bị đánh cắp có thể bị rao bán cho các đối tượng tấn công khác, gây ra những hậu quả lâu dài đối với người dùng.
PV