XLoader Infostealer
W 2016 roku na podziemnych forach hakerskich po raz pierwszy oferowano do sprzedaży keylogger i złośliwe oprogramowanie zbierające formularze o nazwie FormBook w schemacie MaaS (Malware-as-a-Service). Cena najniższego dostępnego poziomu była wyjątkowo niska, a FormBook zaczął zyskiwać na popularności. Według firmy Check Point Research, gdy cyberprzestępcy odkryli, jak łatwo jest rozsyłać keyloggery za pomocą kampanii spamowych, firma FormBook osiągnęła jeszcze większe tempo, a rodzina szkodliwego oprogramowania wspięła się na trzecie miejsce, poniżej rodzin szkodliwego oprogramowania Emotet i TrickBot. To konkretne użycie zagrożenia nie zostało zatwierdzone przez jego twórcę, a w 2018 roku FormBook został usunięty z forów i stał się ciemny.
Jednak w zeszłym roku firma Check Point odkryła, że na tym samym forum hakerskim jest oferowane do sprzedaży nowsze, bardziej wyrafinowane złośliwe oprogramowanie oparte na FormBooku. Zagrożenie nazywa się XLoader i posiada znacznie rozszerzone możliwości kradzieży danych. Jego najbardziej imponującą cechą jest możliwość infekowania systemów macOS. Według Apple było około 100 milionów użytkowników macOS, co stanowi ogromną pulę potencjalnych ofiar.
Zagrożenie XLoader Infostealer jest ponownie oferowane do sprzedaży w formie MaaS, a cena spada do 49 USD. Ze względu na jego niezwykle proste i proste potrzeby operacyjne, nawet niedoszli cyberprzestępcy z niezwykle podstawową wiedzą techniczną mogą go zdobyć i zacząć używać poważnego zagrożenia złośliwym oprogramowaniem. Obecnie XLoader wydaje się być rozpowszechniany za pośrednictwem wiadomości e-mail z przynętą zawierających uzbrojone dokumenty Microsoft Office. Jeśli chodzi o ofiary, ponad 53% celów znajduje się w USA i obejmują one zarówno systemy Windows, jak i macOS. Ukradkowa natura Xloadera utrudnia jego ręczne wykrycie przez zwykłych użytkowników. Jeśli podejrzewasz, że Twój system został zainfekowany, najlepszym sposobem działania jest skorzystanie z profesjonalnego rozwiązania anty-malware w celu przeskanowania systemu w poszukiwaniu potencjalnych zagrożeń.
Należy zauważyć, że pomimo podobnej nazwy, kradzież informacji XLoader nie ma połączenia ze złośliwym oprogramowaniem XLoader (Roaming, MoqHao) na Androida, które działa jako backdoor i wykorzystuje fałszowanie DNS (Domain Name System) w celu rozprzestrzeniania zainfekowanych aplikacji na Androida.
