XLoader是一種長期存在的惡意軟件即服務(MaaS)信息竊取器和僵尸網絡,自2015年以來便一直以某種形式存在。它的第一個macOS變體于2021年被發現,并以編譯的.JAR文件形式作為一個Java程序進行分發。但這樣的文件需要Java運行環境,因此惡意的.jar文件不會在默認的macOS安裝上執行,因為蘋果在十多年前就已停止向Mac提供JRE。這意味著該惡意軟件的目標僅限于可選安裝Java的環境。

但是,現在XLoader以一種新的形式回歸,并且沒有依賴項。XLoader的最新版本偽裝成一款名為“OfficeNote”的辦公生產力應用,通過切換到C和Objective C等編程語言來繞過這個限制,并且有蘋果開發者的簽名。

在這篇文章中,我們研究了這種新的變體是如何工作的,并為威脅獵人和安全團隊提供了一些指標。

XLoader分發方式 

最新版本的XLoader被捆綁在一個名為“OfficeNote.dmg”的標準蘋果磁盤映像中。其中包含的應用程序使用開發人員簽名MAIT JAKHU(54YDV8NU9C)進行簽名。

分析顯示,該磁盤映像文件的簽名日期為2023年7月17日;目前,蘋果公司已經撤銷了這一簽名。盡管如此,測試結果表明,在撰寫本文時,蘋果的惡意軟件攔截工具XProtect并沒有簽名來阻止該惡意軟件的執行。

【OfficeNote撤銷了蘋果開發者簽名】

整個7月份,VirusTotal網站上出現了多份有關該樣本的提交結果,這表明該惡意軟件已經在野廣泛傳播。

【2023年7月份,VirusTotal網站上的XLoader提交結果】

在犯罪軟件論壇上,有廣告提供Mac版本的租賃服務,售價為每月199美元或299美元/3個月。有趣的是,與Windows版本的XLoader(59美元/月和129美元/3個月)相比,這個價格明顯是相對昂貴的。

XLoader Dropper和持久化模塊

一旦執行,OfficeNote應用程序就會拋出一條錯誤消息,稱“無法打開,因為找不到原始項目”。(此錯誤消息使用堆棧字符串技術進行硬編碼,這是XLoader早期版本的典型技術。)但實際上,該惡意軟件會加載其有效負載并安裝Launch Agent,以實現持久化。

【在堆棧上構造的硬編碼錯誤消息】

有效負載存放在用戶的主目錄~/73a470tO中并執行。它創建了一個隱藏目錄,并在其中構建了一個基本的最小應用程序,使用自己的副本作為主可執行文件。盡管負載的名稱是硬編碼到dropper中,但隱藏目錄、應用程序和可執行文件的名稱在每次執行時都是隨機的。

【執行OfficeNote并創建一個隱藏的應用程序】

與此同時,Launch Agent也被放置在用戶的“Library”文件夾中。這個代理類似于先前版本的XLoader中所用的代理,為可執行文件提供一個起始值。這確保了二進制文件可以區分它的初始運行和后續運行。

【用于持久化的XLoader Launch Agent】

XLoader有效負載行為

在之前的版本中,該惡意軟件試圖通過蘋果API NSPasteboard和generalPasteboard竊取用戶剪貼板的秘密。它同時針對Chrome和Firefox瀏覽器,讀取登錄信息。json文件位于~/Library/Application Support/Firefox/Profiles(Firefox瀏覽器)和~/Library/Application Support/Google/Chrome/Default/Login Data (Chrome瀏覽器)。就像研究人員最近觀察到的其他信息竊取程序者一樣,它并不針對Safari進行攻擊。

XLoader使用各種虛擬網絡調用來偽裝真正的C2。研究人員觀察到了169個DNS名稱解析和203個HTTP請求。在該惡意軟件接觸的許多主機中,有以下可疑或惡意的IP地址。

XLoader還試圖通過手動和自動化解決方案來逃避分析。Dropper和有效負載二進制文件都試圖阻止調試器附加ptrace的PT_DENY_ATTACH (0x1f)。

【XLoader試圖阻止分析人員對惡意軟件進行逆向工程】

在執行時,該惡意軟件還會執行睡眠命令來延遲行為,希望欺騙自動分析工具。二進制文件被剝離并顯示出高熵,試圖以類似的方式阻止靜態分析。

【XLoader二進制文件顯示了高熵】

結語

研究人員總結道,XLoader將繼續對macOS用戶和企業構成威脅。這個偽裝成辦公生產力應用程序的最新迭代表明,其目標顯然是工作環境中的用戶。此外,該惡意軟件試圖竊取瀏覽器和剪貼板的機密信息,這些機密可能會被使用或出售給其他威脅行為者,以進一步實施惡意活動。

妥協指標(IoC)

SHA1

描述

26fd638334c9c1bd111c528745c10d00aa77249d

Mach-O Payload

47cacf7497c92aab6cded8e59d2104215d8fab86

Mach-O Dropper

5946452d1537cf2a0e28c77fa278554ce631223c

磁盤映像(Disk Image)

958147ab54ee433ac57809b0e8fd94f811d523ba

Mach-O Payload

文件路徑

~/73a470tO

開發者ID

Mait jakhu(54ydv8nu9c)

網絡通信

軟件 硬編碼
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接