XLoader は何年も前から存在しているマルウェア ツールですが、現在、職場環境を狙って再び姿を現しています。
XLoaderは、攻撃者が感染したシステムから情報を取得するために使用する一般的なツールの一つです。2021年にmacOSに登場した際、XLOADERは同年4番目に多く使用されたツールとして宣伝されました。
2021年とは異なり、この最新のXLoader亜種はJava Runtime Environmentのみを対象としているわけではないため、潜在的に危険性がはるかに高くなります。この最新版はCおよびObjective Cプログラミング言語で記述されており、SentinelOneの報告によると、Apple開発者署名で署名されています。
XLoaderの最新のカバーは、MicrosoftブランドのOffice生産性向上アプリ「OfficeNote」です。これは「OfficeNote.dmg」というApple標準のディスクイメージで配布されており、特に職場環境では注意が必要です。
開発者の署名は「MAIT JAKHU (54YDV8NU9C)」であり、これも注目すべき重要な詳細です。
当初の報道によると、Appleはすでに当該開発者署名を失効させている。しかし、SentinelOneは「AppleのマルウェアブロックツールであるXProtectには、本記事の公開時点ではこのマルウェアの実行を防ぐ署名がない」と述べている。
この特定のマルウェア ツールは、2023 年 7 月に初めて出現した時点では広く配布されていたようです。
macOSマルウェアツールは、クライムウェアフォーラムで見かける広告によると高額で販売されています。このXLodaer亜種のレンタル料金は月額199ドル、または3ヶ月で299ドルです。
これを、Windows ベースのバージョンの通常のレンタル料金である月額 59 ドル、または 3 か月で 129 ドルと比較してください。
XLoaderマルウェアツールをシステムにインストールすると、すぐにChromeとFirefoxという2つの人気ブラウザが標的となり、Apple独自のAPIを介してユーザーのクリップボードに保存されている情報を盗もうとします。
「OfficeNote.app」として隠れているXLOADERマルウェアツール。画像出典:SentinelOne
この XLoader の亜種は Apple の Safari をターゲットにしていません。
インストールされると、マルウェアツールは自動的にペイロードをユーザーのホームディレクトリに配置して実行します。その後、隠しディレクトリとベアボーンアプリを作成し、LaunchAgentをユーザーのライブラリにドロップします。
この XLoader の亜種は特に職場環境向けに設計されており、IT セキュリティ チームはマルウェアを識別してインストールを防ぐように設計されたサードパーティ サービスをインストールすることをお勧めします。
安全を保つ方法
前述の通り、特に企業にとって、このようなマルウェアツールを識別できるソフトウェアセキュリティサービスを活用することが重要です。そしてもちろん、安全を確保し、マルウェアツールを回避するもう一つの簡単な方法は、身に覚えのないソフトウェアやアプリをダウンロードしないことです。
このようなマルウェアツールに関しては、macOSは依然としてより安全な選択肢ですが、脅威は増大しています。Apple Siliconを狙った攻撃さえ存在します。Macをご利用の場合でも、警戒を怠らないでください。
