Formbook è stato uno dei malware per Windows più diffusi nel 2020. Il suo autore originario ha cessato le vendite, ma qualcuno ha riutilizzato il codice sorgente e ora viene offerto in abbonamento a partire da 49 dollari/mese con il nome XLoader. La principale novità è rappresentata dal nuovo target: macOS.
XLoader colpisce anche macOS
Grazie alla crescente popolarità dei MacBook, il sistema operativo di Apple diventa sempre più “appetibile” per i cybercriminali. Formbook era nato come un “semplice keylogger”, ma è stato utilizzato per rubare le credenziali di accesso dai browser, effettuare screenshot, registrare i tasti premuti e scaricare file infetti da server remoti. L’autore ha interrotto le vendite a fine 2017, ma il malware è ritornato in vita con il nome XLoader.
XLoader condivide lo stesso codice base di Formbook e offre le stesse funzionalità, ma funziona anche su macOS. Il nuovo malware viene offerto come servizio. È possibile acquistare l’uso per un determinato intervallo di tempo. Il server viene fornito dal venditore e l’autore controlla l’infrastruttura C&C centralizzata. I prezzi sono 49 dollari/mese per la versione macOS e 59 dollari/mese per la versione Windows.
Gli esperti di Check Point Research non hanno scoperto il nome dell’autore, ma sospettano che sia lo stesso del precedente Formbook. La presenza di XLoader è stata rilevata in 69 paesi tra dicembre 2020 e giugno 2021. La maggioranza delle vittime (53%) sono negli Stati Uniti. Il malware è difficile da scoprire perché su circa 90.000 domini utilizzati, 88.000 appartengono a siti legittimi.