XLoader: Windows-Schadsoftware kann jetzt auch macOS treffen

XLoader, ein Nachfolger des älteren Windows-Trojaners Formbook, greift nun auch Daten unter macOS ab.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 55 Beiträge

(Bild: Pixels Hunter/Shutterstock.com)

Von
  • Alexander Königstein

Sicherheitsforscher warnen, dass der als XLoader bekannte Windows-Trojaner in Untergrundforen inzwischen auch für macOS angeboten wird. XLoader entstand aus dem fünf Jahre alten Windows-Trojaner Formbook. Neben dem Windows-Executable gibt es inzwischen offenbar auch eine ausführbare Version für macOS sowie ein Tool namens XBinder, das beide Executables in ein Java-Archiv packt.

Die Schadsoftware Formbook war dafür bekannt, Anmeldeinformationen von verschiedenen Browsern abzusaugen, Dateien hoch- oder herunterladen, Screenshots zu knipsen und Tastatureingaben mitzuschneiden. Den Nachfolger XLoader hält das Sicherheitsforscher-Team der Firma Check Point für noch ausgereifter.

Die Infrastruktur zur Steuerung des Botnetzes mieten sich Angreifer als Malware-as-a-Service für 49 US-Dollar im Monat. Damit müssten sie sich nur noch auf die Verbreitung des Trojaners konzentrieren. Deshalb ist er bei Cyberkriminellen mit wenig technischen Kenntnissen beliebt.

Formbook lag in AnyRun’s Schadcode Trends im vergangenen Jahr auf Platz 4 hinter Emotet. Kriminelle setzten Formbook unter anderem bei einer Schadcode-Kampagne im Namen der Weltgesundheitsorganisation (WHO) ein. Damals versteckte sich der Trojaner in einem Zip-Archiv namens "My Health Ebook".

(Bild: Screenshot von Any.run)

Der Nachfolger kommt häufig als Rechnung ins E-Mail-Postfach; mal als Excel-Makro oder als Zip-Archiv. Sobald der Code ausgeführt wird, verbindet sich XLoader mit einem Command-and-Control-Server (C&C-Server). Mit einer alten Office Version reicht es, nur das Dokument zu öffnen, um den Trojaner durch die Sicherheitslücke CVE-2017-11882 zu aktivieren.

Neuere Microsoft Office Versionen sind nicht mehr anfällig für die genutzte Outlook-Sicherheitslücke von 2017. Rechnungen, die man nicht zuordnen kann, sollte man überhaupt nicht öffnen und Anwendungen nur aus seriösen Quellen herunterladen. Im Zweifelsfall sollte man lieber komplett auf den Download verzichten.

(ako)