XLoader, un malware qui vole des identifiants sur macOS et Windows

Un malware très populaire sur Windows, connu sous le nom de Formbook, dispose d'une variante nommée XLoader, capable de s'attaquer aussi bien à Windows qu'à macOS.

XLoader est conçu pour dérober des identifiants et des mots de passe sur les machines infectées, en collectant les informations enregistrées au sein des navigateurs (Chrome, Firefox, Opera, Edge, Internet Explorer) mais aussi des clients de messagerie (Outlook, Thunderbird, Foxmail). Mais attention, ce n'est pas tout ce qu'il sait faire...!

Il existe depuis février 2021 et ces derniers temps, sa popularité n'a cessé d'augmenter. Les chercheurs en sécurité de chez Check Point l'ont détecté dans 69 pays, même si plus de la moitié des victimes sont situées aux États-Unis.

Comment expliquer cette popularité ? Tout d'abord, parce que XLoader est un malware multiplateforme, car il est compatible Windows et macOS. Ensuite, parce qu'il s'agit d'un botnet qui ne s'appuie sur aucune dépendance, ce qui le rend facile à utiliser.

C'est grâce à un travail de reverse engineering qu'un lien a pu être fait entre les malwares Formbook et XLoader. En effet, l'exécutable serait le même, et le développeur de Formbook aurait contribué au développement de XLoader. Les fonctionnalités de ces deux logiciels malveillants sont les mêmes : voler des identifiants, prendre des captures d'écran, enregistrer la saisie au clavier, et exécuter des fichiers malveillants sur l'hôte infecté.

Dans la pratique, il est possible de louer XLoader pour un mois en l'échange de 49 dollars, pour la version MacOS, ce qui donne accès à un serveur fourni par les hackers. Concrètement, cette façon de faire permet aux hackers à l'origine de XLoader de garder la main sur l'infrastructure de serveurs C2 (Command and Control). Si vous souhaitez vous en prendre à des machines Windows, il faudra payer un peu plus cher : 59 dollars pour un mois. Pour trois mois, comptez 129 dollars.

XLoader - Génération d'un fichier JAR pour Windows ou macOS

Toujours d'après les chercheurs en sécurité de Check Point, XLoader est suffisamment furtif pour être difficilement détectable par un utilisateur lambda. D'ailleurs, même s'il a les mêmes fonctionnalités que FormBook, XLoader serait plus abouti et plus sophistiqué. Sur macOS, il est recommandé de supprimer les dossiers dans "/Users/<utilisateur>/Library/LaunchAgents" qui ont un nom aléatoire.

De manière générale, le gain en popularité de macOS en fait désormais une cible privilégiée par les hackers, en plus de Windows. Les chercheurs croient que de plus en plus de malwares seront mis à jour pour supporter macOS et cibler les appareils d'Apple.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3208 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.