Новая версия macOS-вредоноса XLoader маскируется под приложение OfficeNote

Новая версия macOS-вредоноса XLoader маскируется под приложение OfficeNote

Новая версия macOS-вредоноса XLoader маскируется под приложение OfficeNote

Новый образец вредоносной программы XLoader, предназначенный для атак на пользователей macOS, маскируется под офисное приложение «OfficeNote». Об обнаруженной версии рассказали специалисты компании SentinelOne.

Проведя анализ попавшего к ним семпла XLoader, исследователи Динеш Девадосс и Фил Стоукс отметили его особенности в отчёте:

«XLoader упакован внутри стандартного образа диска Apple с именем OfficeNote.dmg. При этом приложение содержит подпись разработчика MAIT JAKHU (54YDV8NU9C)».

Впервые про XLoader пользователи узнали в 2020 году, когда его сравнивали с Formbook. В сущности, это троян-кейлогер, задача которого — вытащить как можно больше конфиденциальной информации.

Версия вредоноса для macOS появилась в июле 2021 года и распространялась в качестве программы на Java и в виде файла .JAR. Обратите внимание, что на тот момент XLoader мог заразить только компьютеры с установленным Java Runtime Environment (напомним, Apple более десяти лет не включает JRE в сборки macOS).

Последняя версия трояна смогла обойти это ограничение, перейдя на другие языки программирования: C и Objective C. Образ диска подписан от 17 июля 2023 года, но Apple уже давно отозвала эту подпись.

 

В SentinelOne отметили наличие нескольких семплов зловреда, запруженных на VirusTotal за июль 2023 года. Это говорит о том, что в настоящее время идёт вредоносная кампания по распространению XLoader.

На киберпреступных форумах троян можно приобрести под подписке за $199 в месяц или за $299 — на три месяца. По словам специалистов, это существенно дороже Windows-версии ($59 на месяц и $129 на три месяца).

После запуска OfficeNote выдаёт сообщение об ошибке: «невозможно запустить программу, так как оригинальный элемент не найден». Однако параллельно в фоновом режиме устанавливается агент запуска (Launch Agent).

XLoader может собирать данные из буфера обмена, а также хранящуюся в браузерах информацию.

VK WorkSpace получил смарт-папки и общие файлы между доменами

VK Tech представил обновления серверной версии VK WorkSpace. Новые функции появились сразу в нескольких сервисах платформы: Почте, Календаре, Диске и Мессенджере. В Почте VK WorkSpace расширили возможности фильтрации входящих писем.

Теперь правила могут учитывать не только отправителя, тему и вложения, но и содержимое письма.

Например, можно настроить автоматическую отправку писем с определенными словами в отдельную папку — это должно упростить сортировку рабочей корреспонденции.

В Календаре появилась печать расписания из настольного приложения. Пользователь может выбрать нужный календарь и вывести события в одном из двух форматов: списком на неделю или в виде недельной сетки с распределением встреч по времени. Раньше такая возможность была доступна только в веб-версии.

В Диске VK WorkSpace добавили общие папки для пользователей из разных доменов внутри одной инсталляции. Это может быть полезно компаниям с несколькими подразделениями или юридическими лицами, которым нужно работать с файлами в едином пространстве. Также в Android-приложении появился просмотр PDF-файлов прямо в чате без сохранения документа на устройство.

В Мессенджере расширили возможности федерации: теперь можно связать три и более инсталляций. Такой сценарий рассчитан на холдинги и компании-партнеры, которым нужно общаться в общих чатах, сохраняя отдельные ИТ-контуры.

Также в мессенджере появилась передача прав владельца групповых чатов и каналов. Если у чата нет администратора, участники увидят системное сообщение и смогут обратиться к администратору домена для назначения нового владельца.

Еще одно изменение — смарт-папки. Они формируются автоматически по категориям: «Личные», «Непрочитанные», «Группы», «Каналы» и «Боты». Кроме того, теперь в одном сообщении можно отправить до десяти файлов разных типов.

RSS: Новости на портале Anti-Malware.ru