Nova Variante do Malware XLoader para macOS se como Aplicativo ‘OfficeNote’
Os pesquisadores de segurança estão soando o alarme sobre uma nova variante de um malware direcionado ao sistema macOS da Apple. Conhecido como XLoader, esse malware agora está usando uma máscara digital enganosa, apresentando-se como um aplicativo de produtividade chamado “OfficeNote“.
Conforme destacado pelos pesquisadores Dinesh Devadoss e Phil Stokes, da empresa de segurança SentinelOne, em uma análise recente, esta nova encarnação do XLoader é compactada em uma imagem de disco padrão da Apple nomeada “OfficeNote.dmg“. A aplicação, dentro deste arquivo, está assinada com a assinatura de desenvolvedor MAIT JAKHU (54YDV8NU9C).
Identificado pela primeira vez em 2020, o XLoader é reconhecido como o sucessor do malware Formbook e tem como função principal roubar informações e registrar teclas, sendo disponibilizado no modelo malware-as-a-service (MaaS). Uma variante do XLoader para macOS apareceu em julho de 2021, disfarçada em um arquivo .JAR compilado, um programa Java.
Os pesquisadores observaram que, uma vez que a Apple parou de fornecer o Java Runtime Environment (JRE) com seus Macs há mais de uma década, o arquivo .jar malicioso não seria executado imediatamente em uma instalação padrão do macOS.
Contudo, a versão mais recente do XLoader superou essa limitação, sendo desenvolvida em linguagens como C e Objective C. Essa nova variante foi assinada digitalmente em 17 de julho de 2023, mas a Apple já revogou a assinatura desde então.
Durante todo o mês de julho de 2023, a SentinelOne identificou várias submissões do artefato no VirusTotal, sugerindo uma campanha maliciosa em grande escala. O custo de aluguel da versão macOS no submundo do cibercrime é surpreendentemente elevado, custando entre $199/mês e $299/3 meses, enquanto a variante para Windows é bem mais barata.
Como ele Age?
Ao ser executado, o aplicativo OfficeNote apresenta uma mensagem de erro, mas na verdade, instala um “Launch Agent” em segundo plano para garantir sua persistência no sistema. Além de capturar dados da área de transferência, o XLoader busca informações armazenadas em diretórios associados a navegadores como Google Chrome e Mozilla Firefox, mas, curiosamente, não visa o Safari.
Concluindo, os pesquisadores alertam: “O XLoader continua sendo uma ameaça para os usuários e empresas que usam macOS”. Esta última versão, que se disfarça como um aplicativo de produtividade, evidencia que seus principais alvos são usuários em um ambiente de trabalho, buscando roubar informações de navegadores e da área de transferência.
Sou entusiasta de Tecnologia, Gamer, Blogueiro e Editor do Portal do Pixel.
