在野外观察到的用C语言编写的MacOS版本XLoader 媒体

XLoader新变种现身macOS，警惕信息被盗威胁

重点内容

XLoader是一个存在已久的信息窃取者和僵尸网络，自2015年以来一直活跃，现在已出现macOS变种，并在实际环境中被发现。SentinelOne研究人员在一篇博客文章中指出，这个macOS XLoader变种最早仅出现在Java程序中，如今它已使用C和Objective C语言编写，并且通过Apple开发者签名。

根据SentinelOne的研究，在7月份有多次该XLoader样本在VirusTotal上被提交，该恶意软件伪装成一个名为OfficeNote的假冒办公生产力应用。研究人员表示：“XLoader继续对macOS用户和企业构成威胁。这个伪装成办公应用程序的最新版本显示它们的目标明确，即办公环境中的用户。该恶意软件试图窃取浏览器和剪贴板中的秘密，这可能被其他威胁行为者用于进一步攻击。”

XLoader首个macOS变种于两年前被发现

SentinelOne研究人员指出，XLoader的第一个macOS变种于2021年被发现，并因其以Java程序分发而引起注目。正如SentinelOne在之前的博客中所解释的，自Snow Leopard时代以来，Java运行时环境便不再默认随macOS安装，这意味着该恶意软件仅限于Java被可选安装的环境中作恶。

研究人员表示，该应用程序于7月17日签名，但Apple此后已撤销了该签名。尽管如此，SentinelOne的测试表明，截至目前，Apple的恶意软件阻止工具XProtect仍未能对该XLoader恶意软件进行拦截。

在网络犯罪论坛上，XLoader的Mac版本以每月199美元或三个月299美元的价格出租。相比之下，Windows版本的XLoader价格为每月59美元或三个月129美元，显得相对廉价。

XLoader从依赖Java到利用本地macOS平台的分发机制的演变，证明了网络安全威胁的不断变化，Critical Start的网络威胁研究高级经理Callie Guenther表示。这一转变不仅是技术上的调整，更反映了威胁行为者的战略远见和适应性。

Guenther解释道：“随着Java在macOS上的使用逐渐减少，这些对手敏锐地察觉到一个不断进化的生态系统，重新调整了他们的策略。通过转向本地macOS分发，他们不仅扩大了潜在受害者的基础，同时也利用了macOS被广泛视为更安全环境的观念。这一举动不仅显示出技术的先进，更体现了对用户心理及信任机制的深刻理解。”

Guenther还指出，利用Apple开发者签名进行恶意软件分发进一步强调了这一点，展示了这些行为者为利用数字信任通道所付出的努力。

“当看到从Java完全迁移到macOS时，很明显这不仅仅是为了妥协更多系统或窃取更多数据，”Guenther表示。“这是一种计算过的战略举措，展现了这些威胁行为者的持久性与复杂性。他们对工具和方法的不断演变提醒我们，在网络安全领域，满意现状不是选择，追求强有力的防御措施是我们义不容辞的责任。”

Inversion6的首席信息安全官Damir J Brescic