XLoader竊密程式發展成跨平臺變種，也能感染macOS

安全廠商CheckPoint發現，一隻原只感染Windows平臺的竊密程式現在發展成可跨Windows、macOS的版本，能竊取用戶的瀏覽器、電腦登入密碼等資訊。

一隻名為XLoader的竊密程式現在在地下論壇上被不同人兜售。分析程式碼顯示，它和近年一隻熱門竊密程式Formbook具有相同可執行檔。2016年出現的Formbook 原本是一隻鍵盤側錄木馬，但是後來被發現功能強大，被用於發動大規模垃圾郵件感染全球企業。一項研究顯示，Formbook是過去12個月感染數第4多的惡意程式。但惡意程式作者卻忽然無故終止銷售Formbook，不久後它就化身為XLoader，去年10月在過去Formbook銷售的論壇出現。

圖片來源／CheckPoint

根據地下網站流傳的XLoader銷售廣告，它是「現有最優異的殭屍網路下載器，具備密碼回復功能」，廣告宣稱XLoader能從多種應用程式取得儲存的密碼，包括所有版本的Chrome、Firefox、Internet Explorer (IE)、Microsoft Edge、Opera、Outlook、Foxmail及Thunder bird等。

圖片來源／CheckPoint

Checkpoint指出，和Formbook相較，XLoader技術比起前一代的Formbook更為成熟，最大的不同是多了跨平臺能力，能同時感染Windows、macOS電腦。此外，它還以新興的「Malware-as-a-Service」提供服務，它具有集中控管的C&C基礎架構，讓背後的營運者能控制「客戶」發送XLoader的作業。

根據販售公告，「客戶」有1或3月租用方案可選擇，Windows和macOS版本分別以49到129美元代價提供服務。販售者還釋出免費的Java binder，可建立整合Mach-O和exe二進位檔的JAR壓縮檔。

從去年10月開始到今年6月初，CheckPoint觀察到Formbook/XLoader感染範圍已多達69國，占了全世界超過1/3，其中以美國最多。

研究人員指出，XLoader非常狡猾，一般使用者很難發現到。他們也相信，隨著macOS電腦的普及，未來會成為更多惡意程式的目標。

他們建議macOS用戶使用Autorun功能檢查/Users/[username]/Library/LaunchAgents資料夾中，是否有可疑、隨機命名的檔案，並儘速刪除。