XLoader窃密程式发展成跨平台变种，也能感染macOS

安全厂商CheckPoint发现，一只原只感染Windows平台的窃密程式现在发展成可跨Windows、macOS的版本，能窃取用户的浏览器、电脑登入密码等资讯。

一只名为XLoader的窃密程式现在在地下论坛上被不同人兜售。分析程式码显示，它和近年一只热门窃密程式Formbook具有相同可执行档。2016年出现的Formbook 原本是一只键盘侧录木马，但是后来被发现功能强大，被用于发动大规模垃圾邮件感染全球企业。一项研究显示，Formbook是过去12个月感染数第4多的恶意程式。但恶意程式作者却忽然无故终止销售Formbook，不久后它就化身为XLoader，去年10月在过去Formbook销售的论坛出现。

图片来源／CheckPoint

根据地下网站流传的XLoader销售广告，它是“现有最优异的僵尸网络下载器，具备密码回复功能”，广告宣称XLoader能从多种应用程序取得储存的密码，包括所有版本的Chrome、Firefox、Internet Explorer (IE)、Microsoft Edge、Opera、Outlook、Foxmail及Thunder bird等。

图片来源／CheckPoint

Checkpoint指出，和Formbook相较，XLoader技术比起前一代的Formbook更为成熟，最大的不同是多了跨平台能力，能同时感染Windows、macOS电脑。此外，它还以新兴的“Malware-as-a-Service”提供服务，它具有集中控管的C&C基础架构，让背后的营运者能控制“客户”发送XLoader的作业。

根据贩售公告，“客户”有1或3月租用方案可选择，Windows和macOS版本分别以49到129美元代价提供服务。贩售者还释出免费的Java binder，可建立整合Mach-O和exe二进制档的JAR压缩档。

从去年10月开始到今年6月初，CheckPoint观察到Formbook/XLoader感染范围已多达69国，占了全世界超过1/3，其中以美国最多。

研究人员指出，XLoader非常狡猾，一般使用者很难发现到。他们也相信，随着macOS电脑的普及，未来会成为更多恶意程式的目标。

他们建议macOS用户使用Autorun功能检查/Users/[username]/Library/LaunchAgents资料夹中，是否有可疑、随机命名的档案，并尽速删除。