XLoader: vírus retorna ao macOS em versão mais perigosa
Muita gente acreditava que os computadores Macs, da Apple, não pegavam vírus pela boa segurança do macOS, mas, com o passar dos anos, vários malwares, como o XLoader, deram fim a esse mito.
O episódio mais recente esta semana por engenheiros da firma de cibersegurança SentinelOne: o retorno do vírus XLoader ao macOS.
O XLoader é um vírus que tenta roubar segredos da área de transferência do macOS através da API da Apple no sistema operacional dos Macs. Os principais alvos são os navegadores Chrome e Firefox. O Safari, navegador exclusivo da Apple, não está na mira dele.
Após a instalação, o vírus automaticamente insere o seu mecanismo de propagação no disco principal do usuário e executa o malware.
Em seguida, cria um diretório oculto e um aplicativo de funcionalidades básicas (barebones), enquanto um LaunchAgent aparece do nada na Biblioteca do usuário.
XLoader: antigo conhecido, mas em nova roupagem
A primeira aparição do vírus no macOS foi em 2021, sob o disfarce do programa Java Runtime. No entanto, desde 2009, o Runtime não era um programa padrão do macOS, então o malware se limitava a sistemas que instalaram o Java de maneira opcional.
Agora, de maneira oposta, o retorno do vírus aos Macs ocorreu em uma nova forma e sem essas dependências.
Os hackers desenvolveram o malware na linguagem de programação C e conseguiram a assinatura de um desenvolvedor da Apple. A atual ameaça se disfarça como um aplicativo de produtividade chamado “OfficeNote”, bem similar ao da Microsoft.
Além disso, a nova versão do XLoader está agrupada em uma imagem padrão de disco do MacOS com o vírus sob o nome OfficeNote.dmg. Os criminosos conseguiram essa proeza graças a assinatura de desenvolvedor da Apple que o vírus possui.
Uma imagem de disco (arquivo.dmg) é um arquivo que parece e age como um dispositivo ou volume montável no macOS.
A propósito, a assinatura MAIT JAKHU (54YDV8NU9C) apareceu no dia 17 de julho. A Apple já removeu a assinatura. Mas, apesar disso, a ferramenta de bloqueio de vírus do macOS, o XProtect, não contém uma assinatura para prevenir que a execução do XLoader até então.
Nova versão do XLoader custa quase R$ 500 por mês
O XLoader é um vírus que surgiu em 2015 para o Windows, que rouba dados dos sistemas e realizam ataques de botnets.
Funcionando com um MaaS (Malware-as-a-Service), o XLoader é um vírus que criminosos cobram um valor em dinheiro para ser utilizado.
Desde julho, de acordo com o site VirusTotal, que detecta a expansão de vírus, o XLoader tem se espalhado rapidamente no macOS.
Anúncios em fóruns de compra e venda de vírus e malwares oferecem a versão da imagem de disco com o XLoader por US$ 199 por mês (R$ 1.458, em conversão direta). O aluguel de três meses custa US$ 399 (R$ 1.946).
O aluguel da versão do XLoader para Windows é bem mais barato se comparado ao preço da versão para macOS. O plano mensal custa US$ 59 (R$287,83) e o trimestral sai por US$ 129 (R$ 630).