XLoader Infostealer

Em 2016, um keylogger e malware coletor de formulários denominado FormBook foi oferecido pela primeira vez para ser comprado nos fóruns de hackers clandestinos em um esquema MaaS (Malware-as-a-Service). O preço do nível mais baixo disponível era extremamente baixo e o FormBook começou a crescer em popularidade. Quando os cibercriminosos descobriram o quão fácil foi proliferar o keylogger através de campanhas de spam de e-mail, eles impulsionaram o FormBook ainda mais com a família de malware subindo para o terceiro lugar, abaixo das famílias de malware do Emotet e do TrickBot, de acordo com a Check Point Research. Esse uso específico da ameaça não foi aprovado por seu criador e, em 2018, o FormBook foi retirado dos fóruns e apagado.

No ano passado, entretanto, a Check Point descobriu que um malware mais novo e sofisticado baseado no FormBook está sendo oferecido para venda no mesmo fórum de hackers. A ameaça é chamada de XLoader e possui recursos de roubo de dados amplamente expandidos. Seu recurso mais impressionante é a capacidade de infectar sistemas macOS. De acordo com a Apple, existem cerca de 100 milhões de usuários do macOS, o que representa um grande número de vítimas em potencial.

A ameaça XLoader Infostealer foi novamente colocada à venda na forma de MaaS com o preço chegando a US $49. Devido às suas necessidades operacionais incrivelmente diretas e simples, até mesmo os criminosos cibernéticos com conhecimento técnico extremamente básico podem colocar as mãos nele e começar a usar uma ameaça séria de malware. Atualmente, o XLoader parece ser espalhado por e-mails de isca contendo documentos do Microsoft Office como arma. Quanto às vítimas, mais de 53% dos alvos estão localizados nos Estados Unidos e incluem sistemas Windows e macOS. A natureza furtiva do Xloader torna difícil ser detectado manualmente por usuários normais. Se você suspeitar que seu sistema foi infectado, o melhor curso de ação é usar uma solução anti-malware profissional para verificar o sistema em busca de ameaças em potencial.

Deve-se notar que, apesar do nome semelhante, o infostealer XLoader não tem conexão com o malware XLoader (Roaming, MoqHao) Android que atua como um backdoor e emprega DNS (Domain Name System) spoofing para espalhar aplicativos Android infectados.