Новая версия macOS-вредоноса XLoader маскируется под приложение OfficeNote

Екатерина Быстрова 22 Августа 2023 - 12:08

...

Новая версия macOS-вредоноса XLoader маскируется под приложение OfficeNote

Новый образец вредоносной программы XLoader, предназначенный для атак на пользователей macOS, маскируется под офисное приложение «OfficeNote». Об обнаруженной версии рассказали специалисты компании SentinelOne.

Проведя анализ попавшего к ним семпла XLoader, исследователи Динеш Девадосс и Фил Стоукс отметили его особенности в отчёте:

«XLoader упакован внутри стандартного образа диска Apple с именем OfficeNote.dmg. При этом приложение содержит подпись разработчика MAIT JAKHU (54YDV8NU9C)».

Впервые про XLoader пользователи узнали в 2020 году, когда его сравнивали с Formbook. В сущности, это троян-кейлогер, задача которого — вытащить как можно больше конфиденциальной информации.

Версия вредоноса для macOS появилась в июле 2021 года и распространялась в качестве программы на Java и в виде файла .JAR. Обратите внимание, что на тот момент XLoader мог заразить только компьютеры с установленным Java Runtime Environment (напомним, Apple более десяти лет не включает JRE в сборки macOS).

Последняя версия трояна смогла обойти это ограничение, перейдя на другие языки программирования: C и Objective C. Образ диска подписан от 17 июля 2023 года, но Apple уже давно отозвала эту подпись.

В SentinelOne отметили наличие нескольких семплов зловреда, запруженных на VirusTotal за июль 2023 года. Это говорит о том, что в настоящее время идёт вредоносная кампания по распространению XLoader.

На киберпреступных форумах троян можно приобрести под подписке за $199 в месяц или за $299 — на три месяца. По словам специалистов, это существенно дороже Windows-версии ($59 на месяц и $129 на три месяца).

После запуска OfficeNote выдаёт сообщение об ошибке: «невозможно запустить программу, так как оригинальный элемент не найден». Однако параллельно в фоновом режиме устанавливается агент запуска (Launch Agent).

XLoader может собирать данные из буфера обмена, а также хранящуюся в браузерах информацию.

Следующая главная новость »

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 18 Декабря 2025 - 19:48

Соответствие законодательству РФ Общее Системы контентной веб-фильтрации

Авиакомпании, СМИ и магазины: расширен «белый список» интернета

В России расширили так называемый «белый список» сайтов и сервисов, которые продолжают работать даже в периоды ограничений мобильного интернета, вводимых по соображениям безопасности. В перечень добавили сразу несколько десятков новых ресурсов — от госорганов и СМИ до магазинов, авиакомпаний и сервисов повседневных услуг.

На новом этапе в список вошли, в частности, информационный ресурс «Итоги года с Владимиром Путиным», сайты Совета Федерации, МВД и МЧС, движение «Движение первых», а также авиакомпании «Аэрофлот» и «Победа».

Среди инфраструктурных и деловых ресурсов — «Россети», «Росатом Сеть зарядных станций», Московская биржа, оператор связи «Мотив» и портал по поиску работы HeadHunter.

Перечень пополнился и сервисами для повседневных задач: каршерингом «Ситидрайв», логистической компанией «Деловые линии», сетью ресторанов «Вкусно — и точка», онлайн-кинотеатром «Иви», а также крупными торговыми сетями — «ВкусВилл», «Ашан», «Спар», Metro и «Петрович».

Отдельный блок — средства массовой информации. В «белый список» включены как сайты и приложения федеральных телеканалов (Первый канал, НТВ, RT, ОТР, ТВЦ, ТНТ, СТС, «Пятый канал», «РЕН ТВ», «Пятница», «Домашний», «Муз-ТВ», «Мир», «Спас»), так и печатные издания и цифровые СМИ: «Аргументы и факты», «Российская газета», «Ведомости», «Московский комсомолец», а также приложение «Радиоплеер».

Кроме того, список продолжает расширяться за счёт региональных ресурсов. Ранее туда уже входили социально значимые сервисы в сферах здравоохранения, образования, транспорта и региональных госуслуг. Теперь к ним добавились сайты администраций субъектов РФ и дополнительные региональные платформы.

Напомним, что в «белый список» также входят сайты Президента и Правительства России, крупные маркетплейсы (Ozon, Wildberries), сервисы заказа такси («Яндекс», «Максим») и онлайн-кинотеатры («Кинопоиск», «Винк», Kion, Okko). Перечень формируется на основе предложений федеральных и региональных властей и согласовывается с органами, отвечающими за вопросы безопасности. Работа над его расширением продолжается.

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »