Macy možno budú mať o problém na viac. Bežná forma malvéru, ktorá sa objavovala na systémoch Windows bola upravená aby si našla cestu k macOS systémom. Tento nový druh malvéru, schopného zaútočiť aj na Macy nesie názov XLoader.
Vytvorený z pôvodného Formbooku, ktorý kradol informácie z Windowsu je XLoader forma cross-platformového malvéru, označený ako botnet, ktorý slúži na krádež prihlasovacích údajov, vytváraniu snímok obrazovky, zaznamenávanie stlačených kláves a spúšťaniu škodlivých súborov. Tento malvér objavili výskumníci v oblasti bezpečnosti z Chcek Point Software.
Server, ktorý disponuje macOS verziou XLoaderu je dostupný pre kyber-kriminálnikov na dark webe za 49$/mesiac. Chcek Point sledoval XLoader pol roka, pričom zaznamenal požiadavky zo 69 krajín, čo naznačuje významné využitie po celom svete. Polovica obetí tohto malvéru bola v Spojených štátoch.
Pôvodný Formbook je súčasťou viac ako tisícky malvérov, ktoré sa na scéne objavili v posledných troch rokoch. Predpokladá sa však, že práve XLoader bude mať omnoho väčší úspech, práve pre jeho cross-platform využitie a vysokú sofistikovanosť.
K veci sa vyjadril aj predstaviteľ Check Point, Yaniv Balmas, ktorý prezradil, že zvyšujúca sa popularita macOS rastie v ruku v ruke so záujmom kyber-kriminálnikov, ktorý vidia tento operačný systém ako novú, zlatú baňu.
Malvér na macOS nebol donedávna tak bežný. Väčšinou spadal do kategórie “spyware”, ktorý nenapáchal veľa škody.
Check Point poznamenal, že XLoader je dostatočne nenápadný na to, aby unikol pozornosti väčšine užívateľov. Našťastie je možné prítomnosť XLoaderu v macOS skontrolovať.
Postup je nasledovný:
- Skontrolujte si užívateľské meno v OS
- Prejdite do /Užívatelia/(meno)/Knižnica/LaunchAgents
- Otvorte priečinok LaunchAgents
- Hľadajte podozrivé názvy súborov ako napríklad com.wznlVRt83Jsd.HPyTob4Hwsr.plist
- Odstráňte tieto súbory a vysypte kôš
Poznámka: Súbory, ktoré majú v priečinku byť majú jasný názor služby ku ktorej sú priradené napr. com.malwarebytes.mbam.frontend.agent.plist
zdroj: MacRumors, ThreatPost