Check Point informiert: XLoader wird zur Bedrohung für Mac-User

Yaniv Balmas – Check Point

Die Sicherheitsforscher von Check Point Research (CPR), der Threat-Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cyber-Sicherheitslösungen, haben über das vergangene halbe Jahr die Entwicklung der Malware XLoader beobachtet. Dabei wurde deutlich, dass die Malware von Cyberkriminellen zunehmend häufiger auch gegen Mac-Geräte eingesetzt wird.

Bei XLoader handelt es sich um eine Variante der Formbook-Malware-Familie, die 2020 auf den Markt kam. Hacker können XLoader-Lizenzen im Darknet für nur etwa 42 Euro (49 US-Dollar) kaufen und sie mit Fähigkeiten ausstatten, um Anmeldedaten abzugreifen, Screenshots zu sammeln, Tastatureingaben zu protokollieren und bösartige Dateien auszuführen. Die Opfer werden über gefälschte E-Mails, die bösartige Microsoft Office-Dokumente enthalten, zum Download von XLoader verleitet. Bisher zielten diese Attacken vornehmlich auf Windows-Systeme ab. Immer öfter geraten jedoch auch Mac-Nutzer ins Visier der Angreifer.

Hinweise zur Erkennung und Entfernung

Da es sich bei dieser Malware um eine Stealth-Malware handelt, ist es für ein ungeschultes Auge schwierig zu erkennen, ob ein Rechner infiziert wurde. Wenn die Vermutung besteht, dass ein Gerät infiziert wurde, sollte daher eine Sicherheitsexperte zu Rate gezogen werden oder Tools und Schutzmaßnahmen von Drittanbietern verwendet werden, die diese Bedrohung erkennen, blockieren und sogar von dem entsprechenden Computer entfernen können. Für weitere technische Details zur Unterstützung empfiehlt CPR, zu Autostart zu gehen und:

  1. Überprüfen Sie Ihren Benutzernamen im Betriebssystem
  2. Gehen Sie in das Verzeichnis /Benutzer/[Benutzername]/Library/LaunchAgents
  3. Suchen Sie nach verdächtigen Dateinamen in diesem Verzeichnis (das folgende Beispiel ist ein zufälliger Name)
    /Benutzer/MaxMustermann/Library/LaunchAgents/com.wznlVRt83Jsd.HPyT0b4Hwxh.plist
  4. Entfernen Sie die verdächtige Datei

Yaniv Balmas, Head of Cyber Research bei Check Point Software, erklärt Mac- und Windows-Nutzern: „Im Rahmen unseres Cybercrime-Trackings haben wir interessante Entwicklungen bei der bekannten Malware-Familie Formbook beobachtet. Wir sehen einen neuen Stamm von Malware, der von der ursprünglichen Formbook-Malware abgeleitet ist. Diese Malware mit dem Namen XLoader ist weitaus ausgereifter und raffinierter als ihre Vorgänger und unterstützt verschiedene Betriebssysteme, insbesondere MacOS-Computer. In der Vergangenheit war MacOS-Malware nicht sehr häufig. Sie fallen in der Regel in die Kategorie ‚Spyware‘ und richten keinen allzu großen Schaden an. Ich glaube, es gibt einen weit verbreiteten Irrglauben bei MacOS-Anwendern, dass Apple-Plattformen sicherer sind als andere, weiter verbreitete Plattformen. Es mag zwar eine Lücke zwischen Windows- und MacOS-Malware geben, aber diese Lücke wird mit der Zeit immer kleiner. Die Wahrheit ist, dass MacOS-Malware immer größer und gefährlicher wird. Unsere jüngsten Erkenntnisse sind ein perfektes Beispiel und bestätigen diesen wachsenden Trend. Mit der zunehmenden Beliebtheit von MacOS-Plattformen ist es nur logisch, dass Cyber-Kriminelle ein größeres Interesse an diesem Bereich zeigen, und ich persönlich rechne mit weiteren Cyber-Bedrohungen, die der Formbook-Malware-Familie folgen. Ich würde es mir zweimal überlegen, bevor ich Anhänge von E-Mails öffne, die ich von Absendern bekomme, die ich nicht kenne.“

Den Beitrag zu der Entwicklung von Xloader finden Sie unter: https://research.checkpoint.com/2021/top-prevalent-malware-with-a-thousand-campaigns-migrates-to-macos/