XLoader: il malware su macOS è la nuova variante di una vecchia conoscenza di Windows

Un malware piuttosto comune per i sistemi Windows è ora in circolazione in una nuova variante, che prendere il nome di “XLoader”, e può colpire anche il sistema operativo macOS. Il malware è stato individuato dai ricercatori di sicurezza di Check Point Software dopo una fase di monitoraggio durata 6 mesi, nel corso della quale ha ricevuto richieste di assistenza provenienti da 69 diversi Paesi a testimonianza di come il problema possa essere ritenuto di interesse globale.

XLoader deriva da Formbook, un malware per Windows le cui funzioni principali sono quelle di sottrazione di informazioni. Formbook può rubare password, registrare la pressione dei tasti della tastiera, catturare il contenuto dello schermo ed eseguire file da remoto. Xloader eredita le stesse funzionalità, ed un processo di reverse engineering ha confermato che il suo eseguibile è fondamentalmente identico a quello di Formbook, ovviamente opportunamente adattato per poter funzionare anche su piattaforma macOS.

XLoader viene proposto a noleggio: al costo di 49 dollari al mese i malintenzionati possono avere l’accesso al server di comando e controllo per la gestione del malware. Yaniv Balmas, responsabile Cyber Research per Check Point Software, ha dichiarato: “Sebbene ci sia ancora distanza tra i malware per macOS e per Windows, il divario si sta lentamente chiudendo nel corso del tempo. La verità è che il malware per macOS sta diventando più consistente e più pericoloso”.

Il malware ha caratteristiche di furtività tali da renderlo inosservato alla maggior parte degli utenti. E’ possibile verificare la presenza di Xloader su macOS andando ad esaminare la cartella LaunchAgents (quella che contiene i programmi da aprire all’avvio) presente al percorso /Users/nomeutente/Library/LaunchAgents e approfondire la natura di file ritenuti sospetti.

La diffusione di Xloader avviene tramite email di phishing che provano a persuadere la potenziale vittima a scaricare ed aprire un falso documento Office. Come sempre vale il suggerimento di prestare attenzione ogni volta in cui riceviamo una mail con un allegato, anche se proviene da mittenti che riteniamo affidabili.