XLoader, un malware en location très populaire, est désormais compatible avec macOS

Nicolas Furno |

Les apps et services qui fonctionnent grâce à un abonnement ont connu un succès croissant ces dernières années, il n’y avait pas de raison que le marché du malware n’en profite pas ! Les chercheurs en sécurité de Check Point évoquent ainsi un nouveau type de logiciel malveillant avec XLoader, qui est un « malware-as-a-service » : les clients ne peuvent pas acheter de licence, ils doivent le louer au mois et utiliser les serveurs fournis par ses créateurs. Au-delà de l’absurdité du concept, ce malware est aussi un danger croissant dont il faut se méfier.

XLoader n’est pas une menace récente, c’est un malware qui est apparu sur un forum spécialisé il y a cinq ans de cela sous le nom de Formbook. Pensé à la base comme un keylogger, une app qui enregistre tout ce qui est tapé sur le clavier d’un ordinateur, il est devenu au fil du temps un redoutable outil d’espionnage capable d’enregistrer le trafic web, de stocker le presse-papiers et de récupérer les mots de passe saisis dans près de cent applications, dont des navigateurs et clients FTP.

Fin 2020, Formbook se réinvente en devenant XLoader, un nouveau malware qui propose les mêmes fonctions sans se limiter à Windows. Il est en effet désormais également compatible avec macOS, preuve malheureuse du succès des Mac et de la montée en puissance des malwares sur la plateforme d’Apple. L’autre nouveauté est la bascule sur cet étonnant modèle de l’abonnement, avec plusieurs formules à partir de 49 $ pour un mois d’utilisation de la version macOS.

La fiche de vente de XLoader, sur le forum spécialisé et privé qui est utilisé par les personnes qui cherchent des malwares (capture Check Point).

L’analyse de Checkpoint montre que le malware est surtout actif aux États-Unis, le pays comptant pour plus de la moitié des utilisations constatées sur les six premiers mois de 2021. La France est aussi touchée, à hauteur de 3 % d’après leur étude qui n’est sans doute pas exhaustive. En tout, des attaques ont été détectées dans 69 pays différents dans le monde, ce qui donne une idée de l’importance de XLoader.

Pour ne rien arranger, cette nouvelle génération est plus discrète et complexe à dénicher et déloger. Côté macOS, il va se loger dans les programmes lancés au démarrage en utilisant des noms générés aléatoirement à l’installation, ce qui complique leur détection. Vous pouvez faire un tour dans le dossier ~/Library/LaunchAgents1 pour vérifier si un fichier porte un nom qui n’a pas de sens, mais c’est à peu près tout ce que les chercheurs en sécurité peuvent conseiller à ce stade.

Ces mêmes chercheurs notent pour conclure que l’ère des malwares absents ou peu dangereux sur macOS est bel et bien révolue. XLoader n’est que le dernier exemple en date, mais ils s’attendent à l’avenir à une augmentation des logiciels malveillants capables de frapper aussi fort les Mac que les PC sous Windows.


  1. Vous pouvez y accéder en utilisant la commande « Aller au dossier… » dans le menu Aller du Finder et en copiant/collant le chemin.  ↩︎


avatar oboulot | 

De pire en pire…

Hello script kiddies !

avatar raoolito | 

hallucinant.
Mais business is business n’est ce pas ?

Par contre MAcOs est bel et bien la passoire presentée lors du procès avec Epic. Ca donne un aperçu de ce que pourrait (et apporte deja dans certains cas) une plus grande ouverture l’iOS, version android...

avatar Lucas | 

Ah oui, ça commence à aller loin ?! Oo

Les criminels montent de plus en plus des business as usual, c’est comme les cartes de fidélité pour le cannabis et les promos ciblées sur la cocaïne… bientôt « une Kalachnikov achetée, une Kalachnikov offerte » !

Et oui, c’est sûr que macOS est de plus en plus alléchant avec 100 millions d’usagers au fort pouvoir d’achat.

Mais si on ne désactive pas les fortes options de sécurité d’Apple on est quand même globalement en sécurité, entre le Mac App Store, watch machin et le SIP. Comme d’habitude, ce sont plus généralement les personnes qui téléchargent n’importe quoi n’importe où, ou qui ouvrent les messages et liens suspects sur Facebook Messenger / Gmail sans se poser de question… qui sont à risque.

Bref, oui ça peut être contraignant, mais les sécurités de macOS sont assez robustes quand même !

avatar r e m y | 

Ah non! Ne me parlez pas du Mac AppStore comme lieu de téléchargement sûr!

J'ai arrêté de ferrailler avec Apple pour qu'ils virent les malwares qui s'y trouvent car c'est sans fin. Aussitôt signalés les malwares sont supprimés (sous 48h généralement), mais ils réapparaissent en étant à nouveau validés par Apple en quelques jours seulement (sous un nouveau compte développeur et un nom à peine modifié)

Cherchez "adware medic" par exemple, 9 sur 10 des utilitaires proposés par cette recherche sont a minima des adwares, voire de vrais malwares (que l'anti malware de MalwareByte, par exemple, vous signalera comme tel avant de les supprimer)

Les éditeurs de ces cochonneries profitent au contraire de ce faux sentiment de sécurité qu'apporte le Mac AppStore pour faciliter leur installation (avec code administrateur et accès intégral au disque, qu'on leur donne sans ce méfier tant il est légitime qu'un antivirus ou anti malware dispose des droits administrateurs et l'accès intégral)

avatar gmart | 

@r e m y

Peut-on installer MalwareByte sans souci ?
Et s’abonner?

avatar Powerdom | 

oui à la un
aucun intérêt à la deux

avatar r e m y | 

Même avis que Powerdom

MalwareBytes est très sérieux
L'utiliser ponctuellement en cas de doute est largement suffisant. Inutile de s'abonner.

avatar fousfous | 

D'où l'intérêt d'un App Store unique sans possibilité de side loader des applications, ça évite les malwares et le piratage.

avatar osxkiller92 | 

@fousfous « D'où l'intérêt d'un App Store unique sans possibilité de side loader des applications, ça évite les malwares et le piratage. » Va faire comprendre ça à des cons comme Epic… C’est peine perdue… Au nom de la sacro-sainte liberté de « gneugneugneu j’installe ce que je veux et je me plains ensuite que j’ai eu des merdes tout ça c’est la faute du constructeur »

Cela dit, comme toi je suis pour un AppStore unique, et pas des bouses développées par je ne sais qui et je sais pas ce qui se passe des informations que j’y rentre

avatar v1nce29 | 

Argument rejeté. Tu pourrais faire un app store de logiciels open source (donc auditables par n'importe qui et pas cliqué/validé à la chaîne par Apple)

avatar 0MiguelAnge0 | 

@fousfous

Je n’ai pas besoin de Babysitter. Avec un peu de bon sens, il n’y a aucun danger à aller piocher des softs en dehors de l’app store.

Par contre, oui, il faut réflêchir un peu: difficile pour certains j’en conviens. Mais pour les autres, rien ne les obligent à quitter le Mac Store et donc de laisser aux grands la possibilité de faire ce qu’ils veulent.

avatar r e m y | 

Je dirais même que c'est beaucoup moins dangereux car ça n'oblige à... réfléchir!

Le Mac AppStore donne un faux sentiment de sécurité (Apple validant tout et n'importe quoi... surtout n'importe quoi) dont profitent grandement les éditeurs de malwares pour diffuser leurs cochonneries.

avatar TiTwo102 | 

Quel est le canal d’infection privilégié de ce Malware ?

Sauf erreur de ma part, je n’ai pas trouvé l’info dans l’article.

avatar huexley | 

L'ignorance

avatar marenostrum | 

c'est comme Pegasus. pour des cibles uniques (la plupart des gens ne l'auront pas. si tu es une cible, ceux qui vont payer l'abonnement, ils vont trouver le moyen de l'installer dans ton ordinateur, même par accès physique). d'où l'abonnement.

avatar jackhal | 

« Ces mêmes chercheurs notent pour conclure que l’ère des malwares absents ou peu dangereux sur macOS est bel et bien révolue. XLoader n’est que le dernier exemple en date, mais ils s’attendent à l’avenir à une augmentation des logiciels malveillants capables de frapper aussi fort les Mac que les PC sous Windows. »

Ouais ouais… ça fait plus de 15 ans qu’on peut lire ça : https://daringfireball.net/2011/05/wolf

avatar macbookpro2016 | 

ok donc la marge apple n'est clairement plus justifier si il n'y a plus de confidentialité... déçu

avatar MarcMame | 

@macbookpro2016

"ok donc la marge apple n'est clairement plus justifier si il n'y a plus de confidentialité..."

————
Quel rapport avec la choucroute ?

avatar marenostrum | 

il a acheté un mac, parce que y avait pas besoin d'antivirus. il aura besoin de ça même dans sa vie de tous les jours maintenant.

avatar rolmeyer | 

On était jamais vraiment à l’abri non plus sauf sous 7.5. Mais bon les alternatives c’est pas mieux. MS nous a quand même pondu que Windows pouvait être vulnérable by design…cf Print Nightmare/Spooler. Mouarf.

avatar Bigdidou | 

« Les chercheurs en sécurité de Check Point évoquent ainsi un nouveau type de logiciel malveillant avec XLoader, qui est un « malware-as-a-service » : les clients ne peuvent pas acheter de licence, ils doivent le louer au mois et utiliser les serveurs fournis par ses créateurs »

Ce qui est nouveau, c’est que ce soit disponible « à;ciel;ouvert » (si c’est le cas).
Il existe depuis un certain temps des modèles similaires sur le Darknet (où on peut par exemple louer un spot d’accès à un système malveillant).

avatar marenostrum | 

sans serveur un truc du genre est inutile. ça peut servir que dérober aveuglement quelques données. là ils commercialisent un système clé en main, pour espionner quelqu'un.
en plus on peut pas les condamner. parce que quelle différence entre celui qui vend une arme et celui qui vend un système d'espionnage ? aucune. eux s'occupent que de l'aspect technique, mais c'est pas eux les méchants. ils l'ont trouvé la manière de légaliser (ou le moraliser) le truc.

avatar Bigdidou | 

@marenostrum

« sans serveur un truc du genre est inutile. »

C’est pour ça que je prends la peine de préciser qu’il s’agit de louer un spot sur un système malveillant (sous entendu hébergé sur un serveur : où d’autre ?).

avatar v1nce29 | 

C'est par abonnement ou tu peux acheter la version complète ?
Qu'est-ce qu'ils offrent comme support ?

avatar BLM | 

Je ne comprends rien à l'article.
Un programme indésirable… pour lequel on prendrait un abonnement ?!
Il manque 1 info, non ?
XLoader ne serait-elle pas 1 appli installée volontairement par l'utilisateur parce qu'elle se présenterait comme apportant certaines fonctions (& ds ce cas, lesquelles?) mais serait en fait 1 keylogger ?

avatar r e m y | 

Non! Ce sont les malandrins qui veulent utiliser ce malware pour véroler nos iPhones qui prennent un abonnement auprès de son développeur. (Tout comme les utilisateurs de Pegasus souhaitant espionner tel ou tel chef d'état ou journaliste, peuvent peut-être prendre un abonnement auprès de NSO group pour l'utiliser)

CONNEXION UTILISATEUR