Les apps et services qui fonctionnent grâce à un abonnement ont connu un succès croissant ces dernières années, il n’y avait pas de raison que le marché du malware n’en profite pas ! Les chercheurs en sécurité de Check Point évoquent ainsi un nouveau type de logiciel malveillant avec XLoader, qui est un « malware-as-a-service » : les clients ne peuvent pas acheter de licence, ils doivent le louer au mois et utiliser les serveurs fournis par ses créateurs. Au-delà de l’absurdité du concept, ce malware est aussi un danger croissant dont il faut se méfier.
XLoader n’est pas une menace récente, c’est un malware qui est apparu sur un forum spécialisé il y a cinq ans de cela sous le nom de Formbook. Pensé à la base comme un keylogger, une app qui enregistre tout ce qui est tapé sur le clavier d’un ordinateur, il est devenu au fil du temps un redoutable outil d’espionnage capable d’enregistrer le trafic web, de stocker le presse-papiers et de récupérer les mots de passe saisis dans près de cent applications, dont des navigateurs et clients FTP.
Fin 2020, Formbook se réinvente en devenant XLoader, un nouveau malware qui propose les mêmes fonctions sans se limiter à Windows. Il est en effet désormais également compatible avec macOS, preuve malheureuse du succès des Mac et de la montée en puissance des malwares sur la plateforme d’Apple. L’autre nouveauté est la bascule sur cet étonnant modèle de l’abonnement, avec plusieurs formules à partir de 49 $ pour un mois d’utilisation de la version macOS.

L’analyse de Checkpoint montre que le malware est surtout actif aux États-Unis, le pays comptant pour plus de la moitié des utilisations constatées sur les six premiers mois de 2021. La France est aussi touchée, à hauteur de 3 % d’après leur étude qui n’est sans doute pas exhaustive. En tout, des attaques ont été détectées dans 69 pays différents dans le monde, ce qui donne une idée de l’importance de XLoader.
Pour ne rien arranger, cette nouvelle génération est plus discrète et complexe à dénicher et déloger. Côté macOS, il va se loger dans les programmes lancés au démarrage en utilisant des noms générés aléatoirement à l’installation, ce qui complique leur détection. Vous pouvez faire un tour dans le dossier ~/Library/LaunchAgents
1 pour vérifier si un fichier porte un nom qui n’a pas de sens, mais c’est à peu près tout ce que les chercheurs en sécurité peuvent conseiller à ce stade.
Ces mêmes chercheurs notent pour conclure que l’ère des malwares absents ou peu dangereux sur macOS est bel et bien révolue. XLoader n’est que le dernier exemple en date, mais ils s’attendent à l’avenir à une augmentation des logiciels malveillants capables de frapper aussi fort les Mac que les PC sous Windows.
-
Vous pouvez y accéder en utilisant la commande « Aller au dossier… » dans le menu Aller du Finder et en copiant/collant le chemin. ↩︎