Windows-plattformen leder fremdeles an på skadevarefronten, men Mac har i senere år også opplevd en markant økning. Nå har Mac-folket fått en ny grunn til bekymring, melder blant andre Threatpost.
Sikkerhetsselskapet Checkpoint rapporterer at en av de meste utbredte skadevare-programmene til Windows de siste årene nå har kommet i en ny versjon som også retter seg mot Mac-plattformen.
Kan stjele store mengder data
Skadevaren det dreier seg om heter Xloader. Den kommer med en rekke egenskaper, blant annet tyveri av data fra nettlesere, registrering av tastetrykk (keylogging), innsamling av skjermbilder, og nedlastning og kjøring av filer på kommando fra C&C-servere (command and control).
Xloader er arvtakeren til en skadevare kalt Formbook og har mye av den samme koden, ifølge sikkerhetsforskerne.
Formbook lå på tredjeplass over de mest utbredte skadevarene i en rapport Checkpoint la frem tidligere i år og skal ha rammet 4 prosent av organisasjoner globalt – på nivå med den beryktede Trickbot-programvaren.
Formbook hadde i utgangspunktet ganske enkel funksjonalitet og var kun ment som en keylogger fra utviklerens side, men andre skal senere ha sett et stort potensiale i programvaren og utviklet en ny versjon som ble gjort tilgjengelig på undergrunnfora under navnet Xloader.
En av de meste fremtredende egenskapene til denne nye versjonen er altså at den er tilpasset MacOS-operativsystemet, der den hittil kun har vært aktiv på Windows-plattformen.
Vanskelig å ta knekken på
Programmet tilbys som «skadevare-som-en-tjeneste» hvor kundene betaler en sum penger for å bruke tjenesten en tidsbegrenset periode. På et av forumene sikkerhetsforskerne sjekket lå Mac-versjonen ute til en pris på 99 dollar for tre måneders bruk, og 49 dollar for én måned.
Xloader har også andre truende egenskaper. Checkpoint peker på at skadevaren er i stand til å unnslippe sandkasse-funksjoner, sikkerhetsteknikker som brukes til å å isolere ukjente og tvilsomme programmer for å bedre kunne oppdage og analysere dem.
Den bruker også ulike teknikker til å skjule C&C-serverne som benyttes til å utføre kommandoer via massevis av falske domener. Xloader benytter ifølge sikkerhetsselskapet 90.000 domener i sin nettverkskommunikasjon, men kun 1.300 av disse er reelle C&C-servere, resten er legitime servere.
Skadevaren sender trafikk også til disse legitime serverne for å gjøre det vanskeligere å identifisere de ekte C&C-serverne.
Når det gjelder ofre for Xloader skal over halvparten befinne seg i USA, men mange finnes også i Europa., deriblant Tyskland, Frankrike og Nederland. I hvilken grad Norge er rammet er uvisst.
55-årig kvinne står bak en av verdens farligste skadevare – risikerer 30 år i fengsel
