XLoader Infostealer

In 2016 werd een keylogger en malware voor het verzamelen van formulieren met de naam FormBook voor het eerst te koop aangeboden op ondergrondse hackerforums in een MaaS-schema (Malware-as-a-Service). De prijs voor de laagst beschikbare laag was extreem laag en FormBook begon in populariteit te groeien. Toen cybercriminelen ontdekten hoe gemakkelijk het was om de keylogger te verspreiden via e-mailspamcampagnes, kreeg FormBook een nog grotere boost, waarbij de malwarefamilie opklom naar de derde plaats, onder de Emotet- en TrickBot-malwarefamilies, volgens Check Point Research. Dit specifieke gebruik van de dreiging werd niet goedgekeurd door de maker en in 2018 werd FormBook van de forums gehaald en werd het donker.

Vorig jaar ontdekte Check Point echter dat een nieuwere, meer geavanceerde malware op basis van FormBook te koop wordt aangeboden op hetzelfde hackerforum. De dreiging heet XLoader en beschikt over enorm uitgebreide mogelijkheden om gegevens te stelen. De meest indrukwekkende functie is de mogelijkheid om macOS-systemen te infecteren. Volgens Apple waren er ongeveer 100 miljoen macOS-gebruikers, wat een enorme pool van potentiële slachtoffers vertegenwoordigt.

De XLoader Infostealer-dreiging wordt opnieuw te koop aangeboden in de vorm van MaaS met een prijs van slechts $ 49. Vanwege de ongelooflijk ongecompliceerde en eenvoudige operationele behoeften, kunnen zelfs cybercriminelen met extreem elementaire technische kennis het in handen krijgen en een ernstige malwaredreiging gaan gebruiken. Momenteel lijkt XLoader te worden verspreid via lokaas-e-mails met bewapende Microsoft Office-documenten. Wat betreft de slachtoffers, meer dan 53% van de doelwitten bevindt zich in de VS en ze omvatten zowel Windows- als macOS-systemen. De onopvallende aard van Xloader maakt het moeilijk om handmatig te worden gedetecteerd door normale gebruikers. Als u vermoedt dat uw systeem is geïnfecteerd, kunt u het beste een professionele anti-malwareoplossing gebruiken om het systeem te scannen op mogelijke bedreigingen.

Opgemerkt moet worden dat ondanks de vergelijkbare naam, de XLoader-infostealer geen verbinding heeft met de XLoader (Roaming, MoqHao) Android-malware die fungeert als een achterdeur en DNS-spoofing (Domain Name System) gebruikt om geïnfecteerde Android-applicaties te verspreiden.