XLoader Infostealer

Еще в 2016 году вредоносная программа для кейлоггеров и сборщиков форм под названием FormBook была впервые предложена для продажи на подпольных хакерских форумах по схеме MaaS (Malware-as-a-Service). Цена на самый низкий доступный уровень была чрезвычайно низкой, и популярность FormBook начала расти. По данным Check Point Research, когда киберпреступники обнаружили, насколько легко распространить кейлоггер с помощью рассылок спама, это еще больше повысило популярность FormBook: семейство вредоносных программ поднялось на третье место после семейств вредоносных программ Emotet и TrickBot. Это конкретное использование угрозы не было одобрено ее создателем, и в 2018 году FormBook был удален с форумов и исчез.

Однако в прошлом году Check Point обнаружила, что на том же хакерском форуме продается более новое, более сложное вредоносное ПО, основанное на FormBook. Угроза носит название XLoader и обладает значительно расширенными возможностями кражи данных. Его самая впечатляющая особенность - возможность заражать системы macOS. По данным Apple, было около 100 миллионов пользователей macOS, что представляет собой огромный пул потенциальных жертв.

Угроза XLoader Infostealer снова предлагается для продажи в форме MaaS по цене от 49 долларов. Благодаря его невероятно понятным и простым операционным потребностям, даже подражающие киберпреступникам с очень базовыми техническими знаниями могут заполучить его и начать использовать серьезную угрозу вредоносного ПО. В настоящее время XLoader, по всей видимости, распространяется через электронные письма-приманки, содержащие документы Microsoft Office с оружием в руках. Что касается его жертв, более 53% целей находятся в США, и они включают системы как Windows, так и MacOS. Скрытный характер Xloader затрудняет обнаружение вручную обычными пользователями. Если вы подозреваете, что ваша система заражена, лучше всего использовать профессиональное решение для защиты от вредоносных программ для сканирования системы на наличие потенциальных угроз.

Следует отметить, что, несмотря на похожее название, инфостилер XLoader не имеет связи с вредоносным ПО XLoader (Roaming, MoqHao) для Android, которое действует как бэкдор и использует спуфинг DNS (системы доменных имен) для распространения зараженных приложений Android.