Вредонос XLoader ворует учетные данные из macOS и Windows — «Хакер»

Эксперты компании Check Point рассказали о новой кроссплатформенной малвари XLoader, «подписка» на которую в даркнете стоит всего за 49 долларов. XLoader дает возможность собирать учетные данные, может работать как кейлоггер и запускать вредоносные файлы.

XLoader произошел от известного семейства малвари Formbook, которое в основном атаковало пользователей Windows, но исчезло из продажи в 2018 году. В 2020 году Formbook был переименован в XLoader.

XLoader впервые был замечен в феврале прошлого года и приобрел популярность, рекламируясь как кроссплатформенный (Windows и macOS) ботнет, не имеющий зависимостей. Связь между двумя вредоносными программами была установлена после того, как обнаружилось, что новый вредонос импользует тот же исполняемый файл, что и Formbook ранее. Тогда продавец малвари пояснил, что разработчик Formbook действительно внес большой вклад в создание XLoader. Из-за этого вредоносы имеют весьма схожую функциональность (кража учетных данных, создание снимков экрана, кейлоггинг и выполнение вредоносных файлов).

Изучая активность XLoader в последние шесть месяцев, аналитики Check Point  обнаружили, что теперь он нацелен не только на пользователей Windows, но и macOS. «Арендовать» версию для macOS можно за 49 долларов в месяц, получив доступ к серверу, который предоставляет продавец. Сохраняя централизованную управляющую инфраструктуру, авторы малвари могут контролировать, каким образом их клиенты используют XLoader.

Версия для Windows стоит дороже, за нее продавец просит 59 долларов в месяц или 129 долларов за три месяца.

Как было сказано выше, исследователи отслеживали активность Xloader с 1 декабря 2020 по 1 июня 2021 года и за это время зафиксировали запросы на покупку XLoader от хакеров из 69 стран мира. При этом более половины (53%) жертв малвари проживают в США.

«XLoader — гораздо более сложная и совершенная программа, чем ее предшественники, и она поддерживает различные операционные системы, в частности macOS. Исторически угрозы для macOS не были широко распространены: как правило, они были из категории шпионского ПО и не причиняли слишком большой ущерб. Думаю, что среди пользователей macOS существует распространенное заблуждение, что ОС Apple более безопасна, чем другие. Раньше мы могли бы сказать, что между вредоносными программами для Windows и macOS был разрыв, но сейчас он постепенно сокращается. Вредоносное ПО для macOS становится все опаснее и распространеннее. Наши недавние исследования подтверждают эту тенденцию. Киберпреступники все больше интересуются платформой macOS — и лично я ожидаю очень скоро увидеть больше киберугроз. Семейство Formbook — только начало. Поэтому я бы дважды подумал, прежде чем открывать вложения из писем, которые я получаю от неизвестных отправителей», — говорит Янив Балмас, руководитель отдела киберисследований Check Point Software.

104-Прошивка любого Hex-файла в Arduino при помощи штатного загрузчика (Bootloader). — GetChip.net

Давайте немного отвлечемся от создания нашего робота и поговорим о том, как мы будем записывать прошивку в Arduino.

Нас, прежде всего, интересуют три платы Arduino:
— Arduino Uno – как самый распространенный вариант
— Arduino Nano – компактный вариант, удобный для применения в небольших конструкциях
— Arduino Pro Mini – дешевый компактный вариант без встроенного USB-UART преобразователя (для работы с ним понадобится внешний USB-UART преобразователь), но удобный в случае применения сети устройств.

Во всех вышеописанных платах используется микроконтроллер ATmega328 (в более старых версиях ATmega168).

Atmel-8271-8-bit-AVR-Microcontroller-ATmega48A-48PA-88A-88PA-168A-168PA-328-328P_datasheet.pdf (9604 Загрузки)

Одной из главных причин выбора платы Arduino для проекта робота была возможность записывать прошивку устройства в МК не применяя программатора и каких либо дополнительных устройств. Все что нужно для прошивки микроконтроллера Arduino – это стандартный USB шнур (который входит в комплект Arduino).

Это значит, если Вы имеете Ардуину – Вы имеете любое устройство ZiChip!

Запись программы в МК через USB происходит через специальный загрузчик (Bootloader), который записан в МК при изготовлении платы. Вообще, загрузчик предназначен для работы со своим специальным программным обеспечением Arduino IDE, но в случае, когда необходимо прошить в Ардуину что-то постороннее (свой Hex-файл), есть программки позволяющее это реализовать.

Начнем, конечно, с моей программы загрузчика
GC-Uploader

gcUploader.zip (17277 Загрузок)

Программа интересна тем, что выбранный HEX-файл будет заливаться в Ардуину автоматически после каждого его изменения. Это удобно, так как при разработке проекта каждая компиляция (обновление хекса) будет инициировать прошивку Ардуины — Вам ничего не придется делать самому! Кроме того в программе есть и ручной режим прошивки.

 

Следующая — маленькая и удобная
XLoader (Arduino HEX uploader)

XLoader.zip (24688 Загрузок)

Программка имеет аскетичный интерфейс и работать с ней предельно просто:
— подключаем Arduino в USB-порт (отдельного питания не нужно)
— выбираем Hex файл
— выбираем тип Вашего Arduino
— выбираем COM порт, который создался при подключении Arduino к USB (скорость порта автоматически подставится при выборе типа Arduino)
— жмем Upload

Это все! Ничего сложного. Прошивка через несколько секунд будет записана в МК и автоматически запустится. Один минус – программа никак не сообщает о том, что прошивка уже записана, но это можно увидеть по прекращению мерцания светодиодов RXD и TXD на Ардуине.

XLoader использует для записи прошивки AVR Dude и в качестве протокола программирования используется STK500. Но, похоже, в настройках AVR Dude, произведена коррекция, так как использование стандартного AVR Dude с такими же настройками не дает результатов.

Автоматизация XLoader.

При разработке ПО для микроконтроллера производится очень много прошивок и всегда нужно стремиться автоматизировать этот процесс после сборки проекта — это экономит время и нервы. В данном случае автоматизация усложнена, так как программа не показывает командную строку для AVR Dude (разве что подбирать опытным путем), но некоторое упрощение процесса возможно. Делается это следующим способом – после первой прошивки не закрываем окно программы (COM порт после прошивки программа отпускает) и после следующей сборки проекта просто жмем кнопку «Upload». Конечно, сборка должна осуществляться в один и тот же Hex-файл.

 

Еще одна программка
ARP Uploader (Arduino Hex Uploader and Programmer)

ArduinoUploader.zip (21198 Загрузок)

Как и предыдущая, программка имеет простой интерфейс.

Процесс прошивки тот же:
— подключаем Arduino в USB-порт (отдельного питания не нужно)
— выбираем Hex файл
— выбираем тип Вашего Arduino
— выбираем COM порт
— жмем Upload

Программа при записи открывает дополнительные окна и визуально отображает свои действия, что позволяет следить за процессом записи.

При попытке прошить Arduino Nano программа отказывалась видеть МК. Причиной стала неправильная установка скорости COM порта. По умолчанию скорость стоит 19200, а нужно 57600. Скорость порта в программе не задается явно, она прописывается в строчке «AVR Dude Params» — поменяйте в ней значение 19200 на 57600.

Автоматизация ARP Uploader.
ARP Uploader как и XLoader работает через AVR Dude, но, в отличие от XLoader, показывает командную строку. Это дает возможность использовать AVR Dude напрямую в Make или Bat файле.

 

Дополнительные материалы.
Драйвера Arduino.

Считаю не лишним напомнить, что для связи Arduino с компьютером в последнем должны присутствовать драйвера. Оставляю здесь архив с драйверами для Arduino (включая и старые драйвера в Old_Arduino_Drivers.zip и драйвера для FTDI-чипа в папке «FTDI USB Drivers»

Arduino_drivers.zip (11698 Загрузок)

Стали появляться недорогие китайские Ардуины с драйвером Ch440G
Driver-Ch440G.zip (9795 Загрузок)

 

Загрузчики Arduino

Если Вы решите собрать свою плату Arduino (а сложного там ничего нет, фактически, это голый ATmega328 или ATmega168), Вам понадобится загрузчик Bootloader который должен содержать МК для работы со средой (или программками для заливки Hex-файлов). Конечно, Вам для записи Hex-файлов в чистый МК понадобится программатор и придется выставить фьюзы.

ATmegaBOOT_168_atmega328.zip (12363 Загрузки)
Для правильной работы нужно установить фьюзы следующим образом Low: FF   High: DA   Ext: 05

ATmegaBOOT_168_diecimila.zip (6394 Загрузки)

Фьюзы Low: FF   High: DD   Ext: 00

 

Схемы Arduino

Cхемы вышеописанных Ардуин.
Arduino_Uno_Rev3-schematic.pdf (10630 Загрузок)
ArduinoNano30Schematic.pdf (9693 Загрузки)
Arduino-Pro-Mini-schematic.pdf (8526 Загрузок)

 

Фьюзы установленные по умолчанию в Arduino (только с ATmega328)
Arduino Uno
Low Fuse 0xFF
High Fuse 0xDE
Extended Fuse 0x05

Arduino Duemilanove or Nano w/ ATmega328
Low Fuse 0xFF
High Fuse 0xDA
Extended Fuse 0x05

Arduino BT w/ ATmega328
Low Fuse 0xFF
High Fuse 0xD8
Extended Fuse 0x05

LilyPad Arduino w/ ATmega328
Low Fuse 0xFF
High Fuse 0xDA
Extended Fuse 0x05

Arduino Pro or Pro Mini (5V, 16 MHz) w/ ATmega328
Low Fuse 0xFF
High Fuse 0xDA
Extended Fuse 0x05

(Visited 172 403 times, 13 visits today)

Инфостилер XLoader теперь может красть данные с Apple Mac

Инфостилер XLoader теперь может красть данные с Apple Mac

13:42 / 21 Июля, 20212021-07-21T14:42:30+03:00

Alexander Antipov

Вредонос доступен в даркнете по цене от $49 до $129.

Инфостилер XLoader обзавелся новым функционалом, позволяющим вредоносу похищать конфиденциальные данные с компьютеров на базе Apple macOS.

XLoader является наследником Formbook — известного инфостилера для Windows, способного красть учетные данные из различных браузеров, делать снимки экрана, записывать нажатия клавиш, а также загружать и выполнять файлы с подконтрольных злоумышленников доменов. В минувшем году Formbook занимал 4 место в списке наиболее распространенных вредоносных семейств.

По данным специалистов Check Point, вредонос доступен в даркнете по цене от $49 до $129 (в зависимости от версии ОС и срока использования). Что интересно, продавец больше не предлагает исходный код панелей управления — желающие могут приобрести XLoader только на ограниченное время и использовать исключительно сервер продавца. Как пояснили исследователи, централизованная C&C инфраструктура позволяет создателям вредоноса контролировать использование программы.

XLoader распространяется через подложные электронные письма с вредоносным документом Microsoft Office. За шесть месяцев – с декабря 2020 года по июнь 2021 – специалисты зафиксировали случаи инфицирования Formbook/XLoader в 69 странах мира, большая часть инфекций пришлась на США (53%), далее следуют с большим отрывом специальные административные районы Китая (9%), Мексика (5%), Германия (3%), Франция (3%), РФ (3%).

Первые версии Formbook были обнаружены в январе 2016 года на форумах в даркнете, однако их продажа прекратилась в октябре следующего года. Два года спустя вредонос вернулся в виде XLoader и был выставлен на продажу на том же форме, что и Formbook. Оба вредоноса имеют одну и ту же кодову базу, отметили специалисты.

«XLoader более зрелый и сложный по сравнению со своими предшественниками, он поддерживает разные операционные системы, в частности компьютеры на базе macOS. Прежде вредоносное ПО для macOS было не таким распространенным. Обычно оно попадало в категорию шпионских программ и не наносило слишком много ущерба. Однако разрыв между вредоносами для Windows и MacOS постепенно сокращается, и правда состоит в том, что последние становятся более опасными», — отметил специалист Check Point Янив Балмас.

---

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

---

Поделиться новостью:

Вредоносное ПО XLoader: риски и защита

Изначально XLoader мог изрядно повредить только Windows, но теперь программа угрожает и пользователям Mac. Как защитится от этой кроссплатформенной малвари?

Вредоносная программа-кейлоггер, первоначально известная как FormBook для Windows, появилась в новой версии под названием XLoader. Этот вариант нацелен на пользователей Mac. 

Этот вредонос обманывает юзеров с целью получить доступ к паролям и буферу обмена. XLoader даже записывает нажатия клавиш и делает снимки экрана. Это вредоносное ПО опасно, но насколько? И есть ли способы защитить свою машину?

Что такое XLoader?

XLoader — кроссплатформенное вредоносное ПО, “подписка” на которое в даркнете стоит около 49 долларов. С ним можно собирать учётные данные, также оно может работать как кейлоггер и запускать вредоносные файлы.

XLoader возник как часть FormBook, который атаковал в основном юзеров Windows. В 2018 году он пропал из виду, а уже в 2020 появился как XLoader. Теперь это кроссплатформенный ботнет, который нацелен ещё и на macOS.

Самая большая проблема борьбы с XLoader в том, что ПО очень лёгкое и поэтому часто остается незамеченным на заражённом устройстве.

“XLoader — гораздо более сложная и совершенная программа, чем её предшественники, и она поддерживает различные ОС, в частности macOS. Раньше мы могли бы сказать, что между вредоносными программами для Windows и macOS был разрыв, но сейчас он постепенно сокращается, малвари становится всё опаснее. Поэтому я бы дважды подумал, прежде чем открывать вложения из писем от неизвестных отправителей”, — говорит Янив Балмас, руководитель отдела киберисследований Check Point Software.

Насколько опасна программа XLoader?

XLoader в первую очередь была разработана для эксфильтрации данных. Эта вредоносная программа представляет собой кейлоггер, который может:

• записывать нажатия клавиш, 
• делать снимки экрана,
• получать информацию из буфера обмена,
• извлекать имена пользователей и пароли из браузеров, мессенджеров и почтовых клиентов.

Что ещё хуже, новый вариант XLoader теперь доступен как услуга (MaaS). Это означает, что любой может купить программу для кражи информации. На момент написания статьи его использование для macOS в течение одного месяца стоило около 49 долларов. Для Windows — на 10 долларов больше.

Основная опасность XLoader:

• хакеры могут использовать прогу для эксплуатации украденных учётных записей из электронной почты и соцсетей, чтобы распространять вредоносное ПО среди контактов пострадавшего,
• вредонос может загружать или устанавливать дополнительные программы: это вызывает цепную реакцию и ваша машина страдает от всего и сразу (трояны, программы-вымогатели и т.п.).

Это всё может повлечь за собой огромные финансовые потери и серьезные проблемы конфиденциальности.

Как защититься от XLoader?

Лучшая защита от XLoader — быть осторожными с вложениями писем от незнакомых лиц и не загружать ничего с подозрительных сайтов. Также полезно сканировать каждый установочный пакет перед его использованием с помощью надёжного антивирусного ПО.

Вот несколько способов защитить себя от вредоносных программ любого типа:

Установите антивирусное ПО

Многие относятся к антивирусам скептически, но они полезны. Если вы ответственно относитесь к выбору ПО, базы угроз будут свежими и помогут выявить вредонос ещё до безвозвратных потерь.

Установите обновления Windows/macOS

Обновляйте систему и ПО как только можете. Да, мы подозреваем, что большие корпорации могут наделать ещё тех обновлений, но уязвимости и обновления безопасности вы точно получите.

Не открывайте подозрительные вложения и не переходите по странным ссылкам

Фишинг — самый распространенный способ установки вредоносного ПО. Пользователей ловят на крючок: они открывают электронные письма или переходят по ссылке от “знакомого” ресурса или отправителя. 

Они попадают на “знакомый” сайт, совершают там действия, которые дают малвари доступ ко всему на их устройстве. Или просто открывают вложение, после чего происходит нужное злоумышленнику действие.

Не загружайте приложения и программы из всплывающих окон

Никогда не загружайте приложения или программы из всплывающих окон. Хорошая новость в том, что большинство браузеров останавливают всплывающую рекламу. Если у вас появляются такие окна, вам лучше отключить их в настройках браузера.

Отключить макросы в офисных документах

В таких продуктах Microsoft Office, как Word и Excel, часто используются макросы для автоматизации повторяющихся задач (типа форматирование электронных таблиц). 

Лучше отключить макросы: через них злоумышленники могут запускать вредоносные скрипты. Ещё следите за прикладным к Office сторонним ПО, поскольку это может снизить количество успешных атак.

Используйте многофакторную аутентификацию

MFA — это метод аутентификации, который предоставляет доступ пользователю после того, как он успешно представил два или более свидетельства. 

Он обеспечивает дополнительный уровень безопасности, за счёт запроса дополнительного набора учётных данных. Используйте ключи доступа из приложений MFA везде, где есть такая опция.

ИТОГ

Хакеры атакуют нас разными способами, но самая популярная стратегия — электронное письмо с вложением или вредоносной ссылкой. Она простая как двери, но рабочая. Вспомните вирус NotPetya и прочие напасти, которые рассылают в государственные структуры: больницы, университеты, администрации.

Всегда дважды думайте, прежде чем открывать электронные письма от неизвестных отправителей, даже если они кажутся безобидными. Один клик может стоить слишком много.

XLoader Infostealer

XLoader Infostealer Описание

Еще в 2016 году вредоносная программа для кейлоггеров и сборщиков форм под названием FormBook была впервые предложена для продажи на подпольных хакерских форумах по схеме MaaS (Malware-as-a-Service). Цена на самый низкий доступный уровень была чрезвычайно низкой, и популярность FormBook начала расти. По данным Check Point Research, когда киберпреступники обнаружили, насколько легко распространить кейлоггер с помощью рассылок спама, это еще больше повысило популярность FormBook: семейство вредоносных программ поднялось на третье место после семейств вредоносных программ Emotet и TrickBot. Это конкретное использование угрозы не было одобрено ее создателем, и в 2018 году FormBook был удален с форумов и исчез.

Однако в прошлом году Check Point обнаружила, что на том же хакерском форуме продается более новое, более сложное вредоносное ПО, основанное на FormBook. Угроза носит название XLoader и обладает значительно расширенными возможностями кражи данных. Его самая впечатляющая особенность — возможность заражать системы macOS. По данным Apple, было около 100 миллионов пользователей macOS, что представляет собой огромный пул потенциальных жертв.

Угроза XLoader Infostealer снова предлагается для продажи в форме MaaS по цене от 49 долларов. Благодаря его невероятно понятным и простым операционным потребностям, даже подражающие киберпреступникам с очень базовыми техническими знаниями могут заполучить его и начать использовать серьезную угрозу вредоносного ПО. В настоящее время XLoader, по всей видимости, распространяется через электронные письма-приманки, содержащие документы Microsoft Office с оружием в руках. Что касается его жертв, более 53% целей находятся в США, и они включают системы как Windows, так и MacOS. Скрытный характер Xloader затрудняет обнаружение вручную обычными пользователями. Если вы подозреваете, что ваша система заражена, лучше всего использовать профессиональное решение для защиты от вредоносных программ для сканирования системы на наличие потенциальных угроз.

Следует отметить, что, несмотря на похожее название, инфостилер XLoader не имеет связи с вредоносным ПО XLoader (Roaming, MoqHao) для Android, которое действует как бэкдор и использует спуфинг DNS (системы доменных имен) для распространения зараженных приложений Android.

Зловред XLoader крадет пароли на macOS и Windows

Исследователи из Check Point предупреждают о растущей интернет-угрозе — загрузчике XLoader, способном воровать пароли из браузеров и почтовых клиентов на macOS и Windows. Зловред предоставляется в пользование как услуга (Malware-as-a-Service, MaaS) и уже поразил компьютеры в 69 странах, в том числе в России.

Первая реклама XLoader появилась на подпольных форумах в феврале 2020 года. На тот момент он позиционировался как бот-загрузчик для Windows с возможностью кражи паролей из Chrome, Firefox, Opera, Edge, IE, Outlook,Thunderbird и Foxmail. К октябрю его портировали на macOS и стали сдавать в аренду с привязкой к хозяйскому C2-серверу — для надзора за выполнением условий сервиса.

В пакет услуг XLoader входит также бесплатный доступ к Java-связнику — инструменту для создания файлов JAR, объединяющих бинарники Mach-O и EXE.

 

Продавцы зловреда не скрывают, что он создан на основе инфостилера Formbook и схож с ним по функциям, то есть умеет воровать учетные данные, регистрировать клавиатурный ввод, делать снимки экрана и запускать вредоносные файлы на исполнение.

По словам аналитиков, XLoader также способен обнаружить запуск в песочнице и, подобно Formbook, прячет свои командные серверы, поочередно запрашивая множество доменов. Изученный образец оперировал списком из почти 90 тыс. URL, однако лишь 1,3 тыс. из них указывали на C2 (остальные оказались легитимными сайтами).

Родительскую программу Formbook больше не рекламируют в хакерской среде, однако она до сих пор фигурирует в списках топовых угроз, регулярно публикуемых экспертами. Ее наследник XLoader, по оценке Check Point, более профессионален и сложен. С учетом его способности работать на двух популярных платформах можно ожидать, что популяция этого зловреда будет только расти.

Данные телеметрии показали, что за полгода XLoader успел отметиться в большинстве регионов, но больше всего ему нравятся США.

Вредонос XLoader, потомок семейства Formbook, теперь может заражать и MacOS | Новости

Команда исследователей Check Point Research (CPR) сообщает о новом виде вредоносного ПО, который эволюционировал для кражи информации пользователей MacOS. Его назвали XLoader – он произошел от известного семейства вредоносных программ Formbook. Последние в основном предназначались для пользователей Windows, но исчезли из продажи в 2018 г. В прошлом году Formbook был переименован в XLoader. Изучая активность XLoader в последние шесть месяцев, эксперты обнаружили, что теперь он нацелен не только на пользователей Windows, но и Mac.

Хакеры могут купить лицензии на XLoader в даркнете всего за 49 долл. При этом они получают возможность собирать учетные данные для входа и снимки экрана, записывать нажатия клавиш и запускать вредоносные файлы. Как правило, жертвы загружают XLoader из фишинговых электронных писем с вредоносными документами Microsoft Office.

Специалисты отслеживали активность Xloader с 1 декабря 2020 г. по 1 июня 2021 г. Исследователи зафиксировали запросы на покупку XLoader от хакеров из 69 стран. Более половины (53%) жертв проживают в США.

Распределение жертв Formbook по странам

XLoader обычно распространяется через фишинговые электронные письма, которые побуждают своих жертв загрузить и открыть вредоносные файлы. Как правило, это документы Microsoft Office.

XLoader искусно скрывается от обнаружения, поэтому обычному пользователю, не ИБ-специалисту, скорее всего, будет сложно оперативно распознать его присутствие в системе. Если вы подозреваете, что заражены, проконсультируйтесь со специалистом по безопасности или используйте сторонние инструменты и защитные решения для выявления, блокировки и удаления этой угрозы с вашего устройства.

Дополнительную информацию о компании и ее решениях вы можете найти на специальной странице http://ko.com.ua/check_point

Вы можете подписаться на нашу страницу в LinkedIn!

xinabox / xLoader: Инструмент для перепрошивки ☒CC01 и ☒CR0x с использованием IP01

GitHub — xinabox / xLoader: Инструмент для перепрошивки ☒CC01 и ☒CR0x с использованием IP01

Файлы

Постоянная ссылка Не удалось загрузить последнюю информацию о фиксации.

Тип

Имя

Последнее сообщение фиксации

Время фиксации

Инструмент Microsoft Windows для прошивки CC01, CR01, CR02 или CR03 с использованием IP01

На данный момент нет инструментов для других операционных систем!

Шаг мигания:

1. Скачать xLoader.zip-файл.
2. Вирус Проверьте файл xLoader.zip
3. Распакуйте файл xLoader.zip
4. Соедините IP01 и CC01 / CR0x вместе
5. Вставьте IP01 и CC01 / CR0x в свободный порт USB
6. Подождите, пока будут установлены возможные драйверы, если установка драйвера не удалась, перейдите к USB Driver
7. Запустить файл xLoader.exe
8. Выбираем прошивку. Существует .шестнадцатеричный файл, включенный в папку установки. Вы также можете загрузить определенные пары идентификаторов радиостанций.
9. Выберите свой COM-порт. Если COM-порт недоступен, перейдите к USB Driver
.
10. Нажмите Загрузить
11. Подождите, пока текст Uploading ... будет заменен на загружено байт
12. Отключить IP01 и CC01 / CR0x

Драйвер USB

Если у вас есть проблемы с драйверами USB для IP01 , перейдите сюда IP01 и установите драйвер из папки drivers .

Мигает в операционных системах, отличных от Windows

Эти инструкции предоставляются КАК ЕСТЬ. Если вы столкнулись с трудностями, воспользуйтесь приведенными выше инструкциями, прежде чем сообщать о проблеме.

1. Вам нужно будет установить команду avrdude . В некоторых системах Linux это предоставляется в виде пакета через диспетчер пакетов (например, sudo apt install avrdude ).
2. Выполните следующую команду, если IP01 подключен к / dev / ttyUSB0 :
   avrdude -p m328p -b 57600 -P / dev / ttyUSB0 -c stk500v1 -U flash: w: CR03_BootCamp_Firmware_V1.200_20170812.hex

Лицензионные права и ограничения (MIT) см. В файле LICENSE «MIT License».

Около

Инструмент для прошивки ☒CC01 и ☒CR0x с помощью IP01

ресурсов

Лицензия

Вы не можете выполнить это действие в настоящее время.Вы вошли в систему с другой вкладкой или окном. Перезагрузите, чтобы обновить сеанс. Вы вышли из системы на другой вкладке или в другом окне. Перезагрузите, чтобы обновить сеанс. Вредоносная программа

XLoader крадет логины из систем macOS и Windows

Очень популярное вредоносное ПО для кражи информации из систем Windows было преобразовано в новый штамм под названием XLoader, который также может быть нацелен на системы MacOS.

XLoader в настоящее время предлагается на подпольном форуме в качестве службы загрузки ботнета, которая может «восстанавливать» пароли из веб-браузеров и некоторых почтовых клиентов (Chrome, Firefox, Opera, Edge, IE, Outlook, Thunderbird, Foxmail).

Созданный на основе Formbook info-stealer для Windows, XLoader появился в феврале прошлого года и приобрел популярность, рекламируясь как кроссплатформенный (Windows и macOS) ботнет без зависимостей.

Связь между двумя вредоносными программами была подтверждена после того, как член сообщества произвел реверс-инжиниринг XLoader и обнаружил, что он имеет тот же исполняемый файл, что и Formbook.

Рекламодатель объяснил, что разработчик Formbook внес большой вклад в создание XLoader, а две вредоносные программы имели схожие функции (кража учетных данных, создание снимков экрана, регистрация нажатий клавиш и выполнение вредоносных файлов).

Клиенты могут арендовать версию вредоносного ПО для macOS за 49 долларов (один месяц) и получить доступ к серверу, который предоставляет продавец. Сохраняя централизованную инфраструктуру управления и контроля, авторы могут контролировать, как клиенты используют вредоносное ПО.

Версия для Windows дороже, так как продавец просит 59 долларов за лицензию на один месяц и 129 долларов за три месяца.

Как упоминалось в рекламе, производители XLoader также бесплатно предоставляют связыватель Java, который позволяет клиентам создавать автономные файлы JAR с двоичными файлами Mach-O и EXE, используемыми в macOS и Windows.

Отслеживание активности XLoader за 6 месяцев до 1 июня. Исследователи вредоносных программ Check Point увидели запросы из 69 стран, что свидетельствует о значительном распространении вредоносных программ по всему миру, при этом более половины жертв находятся в Соединенных Штатах.

Хотя Formbook больше не рекламируется на подпольных форумах, он по-прежнему представляет собой серьезную угрозу. Он был частью как минимум 1000 кампаний по борьбе с вредоносным ПО за последние три года, и, согласно тенденциям вредоносного ПО AnyRun, информационный кража занимает четвертое место за последние 12 месяцев после Emotet

.

Если популярность Formbook является каким-либо показателем, XLoader, вероятно, будет более распространенным, учитывая, что он нацелен на две самые популярные операционные системы, используемые потребителями.

Исследователи

Check Point говорят, что XLoader достаточно скрытный, чтобы обычному, нетехническому пользователю было сложно его обнаружить.

Они рекомендуют использовать автозапуск macOS, чтобы проверить имя пользователя в ОС и заглянуть в папку LaunchAgents [/ Users / [имя пользователя] / Library / LaunchAgents] и удалить записи с подозрительными именами файлов (имя выглядит случайно).

Янив Балмас, руководитель отдела кибер-исследований в Check Point Software, говорит, что XLoader «намного более зрелый и сложный, чем его предшественники [i.е. Бланк формальностей] ».

Растущая популярность

macOS привлекла к ней нежелательное внимание киберпреступников, которые теперь рассматривают эту ОС как привлекательную цель.

«Хотя между вредоносными программами для Windows и MacOS может существовать разрыв, со временем этот разрыв постепенно сокращается. На самом деле вредоносное ПО для MacOS становится все больше и опаснее »- Янив Балмас

Исследователь считает, что больше семейств вредоносных программ будут адаптироваться и добавлять macOS в список поддерживаемых операционных систем.

Обнаружение XLoader | Программа для кражи информации и кейлоггера

для macOS «Вредоносное ПО как услуга».

Злоумышленники осознали реальность того, что современные организации используют парк устройств, охватывающий всех основных поставщиков ОС — Apple, Microsoft, Google и многие разновидности Linux, — и соответствующим образом адаптируются.Угрозы, которые могут быть скомпилированы на одной платформе, но производят исполняемые файлы, предназначенные для многих, являются благом производительности для преступников, которые теперь действуют в условиях все более жесткой конкуренции, пытаясь продать свои товары.

Последней такой угрозой, привлекшей внимание, является XLoader, программа для кражи информации и кейлоггер типа «вредоносное ПО как услуга», которая, по словам исследователей, была разработана из пепла FormBook. В отличие от своего предшественника, предназначенного только для Windows, XLoader нацелен как на Windows, так и на macOS. В этом посте мы сначала рассмотрим версию XLoader для macOS, опишем ее поведение и покажем, как XLoader может быть обнаружен на платформе Apple Mac.

XLoader для Mac — Java Runtime For the Steal

Анализируемый нами образец macOS поставляется как в виде отдельного двоичного файла, так и в виде скомпилированного файла .jar . Файл .jar , похоже, распространяется как вложение в фишинговом приманке, например, в этом документе Заявление SKBMT 09818.jar .

XLoader, вероятно, распространяется почтовым спамом

. Для таких файлов требуется среда выполнения Java, и по этой причине вредоносный файл .jar не будет запускаться при установке macOS из коробки, поскольку Apple прекратила поставлять JRE с компьютерами Mac более десяти лет назад. .

Тем не менее, Java по-прежнему является обычным требованием в корпоративных средах и все еще используется в некоторых банковских приложениях. В результате во многих организациях будут пользователи, которые либо устанавливают, либо должны установить версию Java для Oracle, чтобы удовлетворить эти потребности. Oracle JRE устанавливается как сторонний плагин по адресу / Library / Internet Plug-Ins / JavaAppletPlugin.plugin .

Когда вредоносная программа выполняется как файл .jar , цепочка выполнения начинается с JavaLauncher, предоставляемого ОС, по адресу / System / Library / CoreServices / JavaLauncher.приложение .

Цепочка выполнения XLoader начинается с JavaLauncher

. JavaLauncher также заполняется на панели специальных возможностей на вкладке Конфиденциальность в системных настройках , и появляется диалоговое окно, запрашивающее у пользователя доступ для автоматизации. Как мы увидим ниже, это, вероятно, используется как часть функциональности программы для кражи информации.

JavaLauncher запрашивает доступ для управления другими приложениями

com.oracle.JavaInstaller также заполняет таблицу «Полный доступ к диску» на той же вкладке.По умолчанию это не отмечено флажком, и, по крайней мере, в нашем тесте пользователю не было представлено диалоговое окно для запроса разрешений.

Поведение XLoader на macOS

При запуске вредоносная программа помещает файл образа Windows размером 32 × 32 пикселя в домашний каталог пользователя с именем NVFFY.ico .

Файл значка Windows помещается в домашнюю папку пользователя.

Программа просмотра изображений пользователя по умолчанию — обычно встроенная программа Preview.app — запускается для отображения этого изображения. На этом этапе можно было представить, что даже самый ничего не подозревающий пользователь, открывающий файл «Statement SKBT», подумает, что что-то не так.

ICO-файл в том виде, в каком он был представлен жертве

Непонятно, о чем здесь думали авторы вредоносного ПО: возможно, образец является ранней разработкой или тестовым образцом. С другой стороны, это может быть отражением опасности кроссплатформенного вредоносного ПО, когда предположения автора о платформе Windows не были полностью проверены на устройстве MacOS.

В любом случае от пользователя не требуется никакого взаимодействия, и вредоносная программа продолжает сбрасывать и выполнять остальные свои компоненты. Это включает в себя удаление и выполнение файла Mach-O в домашней папке пользователя.Этот файл, kIbwf02l , записывает скрытый пакет приложений, который также находится в домашней папке жертвы и содержит его собственную копию. Затем он записывает и загружает пользовательский LaunchAgent с программным аргументом, указывающим на копию в скрытом пакете приложений. С этого момента файл kIbwF02l кажется избыточным, но не удаляется вредоносным ПО.

Пример XLoader LaunchAgent

Метка для LaunchAgent и имена скрытого приложения и исполняемого файла рандомизированы и меняются от выполнения к выполнению.Двоичному файлу передается аргумент start в качестве параметра запуска.

Скрытое приложение само по себе является пакетом barebones, содержащим только Info.plist и исполняемый файл Mach-O.

Скрытый пакет приложений XLoader

Копия того же исполняемого файла, без пакета и с именем kIbwf02l , также удаляется в домашний каталог пользователя.

Анализ XLoader Mach-O

Скомпилированный исполняемый файл Mach-O, на который указывает агент сохраняемости, сильно вырезан и запутан.Как показано на изображении ниже, статический анализ с использованием таких инструментов, как строки, мало что покажет, а динамический анализ осложнен рядом функций защиты от отладки.

Слева: Info.plist скрытого приложения. Справа: строки и символы в исполняемых файлах

В целях быстрой сортировки мы извлекли строки стека из Mach-O с помощью otool, чтобы получить начальное представление о функциональности программы для кражи информации. При дальнейшей обработке вручную или с помощью radare2 мы можем сопоставить эти строки с конкретными функциями.

Строки стека, обнаруженные в XLoader для macOS версии

. Эти строки показывают, что XLoader пытается украсть учетные данные из браузеров Chrome и Firefox. Мы также видим указание на то, что вредоносная программа вызывает NSWorkspace API для идентификации переднего окна через Accessibility API AXTitleFocusedWindow и использует NSPasteboard , вероятно, для копирования информации из окна текущего активного процесса пользователя. Для вызова API доступности требуется согласие пользователя, поскольку эта функция контролируется TCC.Как отмечалось выше, JavaLauncher имеет такие разрешения.

Другие исследователи предположили, что интернет-трафик XLoader перегружен ловушками, чтобы замаскировать фактический C2, используемый для передачи данных. Поскольку в ходе нашего тестирования мы не наблюдали трафика, связанного с кражей учетных данных, мы не можем подтвердить это подозрение, но интернет-трафик XLoader определенно «шумный». Мы наблюдали, как вредоносное ПО достигло множества известных фишинговых и вредоносных сайтов.

Некоторые IP-адреса, с которыми связывалась вредоносная программа XLoader
Один из ряда вредоносных доменов Контакты XLoader (VirusTotal)

Обнаружение XLoader Infostealer в macOS

В конце этого поста мы приводим ряд индикаторов взлома, специфичных для macOS, чтобы помочь организациям и пользователям в целом идентифицировать заражение XLoader.Клиенты SentinelOne автоматически защищены от этого вредоносного ПО, независимо от того, запускается оно через среду выполнения Java или автономный XLoader Mach-O.

В нашем тесте мы установили для агента политику «Только обнаружение», чтобы наблюдать за поведением вредоносного ПО. Клиентам рекомендуется всегда использовать политику «Защитить», которая полностью предотвращает выполнение вредоносных программ.

В режиме «Только обнаружение» устройство Mac цели немедленно уведомит пользователя с помощью уведомлений:

Тем временем группы безопасности и ИТ-администраторы

увидят в консоли управления нечто похожее на следующее.

После исправления пользовательский интерфейс (версия 21.7EA) на устройстве указывает, что угроза успешно устранена и помещена в карантин.

Заключение

XLoader — интересный и несколько необычный пример вредоносного ПО для macOS. Его зависимость от Java и его функциональные возможности предполагают, что он в первую очередь нацелен на организации, в которых злоумышленники ожидают, что будут использоваться Java-приложения. Среди прочего, это включает в себя определенные приложения для онлайн-банкинга, и, безусловно, можно понять привлекательность с точки зрения преступника кейлоггера и кражи информации в этой среде.Также стоит отметить, что минимальные системные требования вредоносного ПО — 10.6 Snow Leopard (старше 10 лет), поэтому автор, безусловно, широко распространяет свою сеть. С другой стороны, реализация на macOS в лучшем случае неуклюжа и может вызвать подозрения. Несомненно, авторы вредоносных программ будут стремиться улучшить это в будущих итерациях.

Индикаторы компрометации

Хэши SHA1

XLoader Mach-O Исполняемый файл: KIbwf02l
7edead477048b47d2ac3abdc4baef12579c3c348

Подозрение на фишинговую приманку: Заявление SKBMT 09818.банка
b8c0167341d3639eb1ed2636a56c272dc66546fa

Пример постоянного агента LaunchAgent: com.j85H64iPLnW.rXxHYP
cb3e7ac4e2e83335421f8bbc0cf953cb820e2e27

Связанные IP-адреса
128.65.195.232
162.0.229.244
184.168.131.241
204.11.56.48
216.239.38.21
34.102.136.180
63.250.34.223
64.190.62.111
64.32.84.70
72.29

Интересные строки

 .appMacOSContentsInfo.plist
.exe.dll
/logins.json
10.: 1.1 OS X XLNG:
200 ОК
80987dat = & = & un = & br = & os = 1
DB1ChromeURL:
guidURL: Firefox
NSStringstringWithCString: кодировка:
открытым
passtokenemailloginsigninaccountHost: & GETPUTPOSTOPTIONSGET
г% s / dev / null
Восстановление
rm -rf
rm распаковать nss3.zip -d
солёная соль
UTF8StringNSPasteboardstringForType: generalPasteboardpublic.utf8-plain-text
UTF8StringNSWorkspacesharedWorkspaceprocessIdentifierfrontmostApplicationAXTitleAXFocusedWindow
 

XLoader, шпионское ПО за 49 долларов, которое может быть нацелено как на Windows, так и на macOS Security Affairs

Эксперты Check Point Research (CPR) обнаружили дешевое вредоносное ПО, получившее название варианта XLoader, которое было обновлено для ПК с Windows и macOS.

XLoader — это очень дешевый штамм вредоносного ПО, основанный на популярном вредоносном ПО Formbook для Windows.

FormBook — это вредоносная программа для кражи данных, которая используется в кампаниях кибершпионажа. Как и другие шпионские программы, она способна извлекать данные из HTTP-сеансов, регистрировать нажатия клавиш, красть содержимое буфера обмена. FormBook также может получать команды от сервера управления и контроля (C2) для выполнения множества вредоносных действий, таких как загрузка дополнительных данных. FormBook был выставлен на продажу в криминальном подполье с июля по цене от 29 долларов в неделю до 299 долларов за полный пакет «профи».Клиенты платят за доступ к платформе и генерируют свои исполняемые файлы как услугу.

Вредоносное ПО было снято с продажи в 2017 году, но продолжало заражать системы по всему миру. В марте 2020 года команда MalwareHunterTeam обнаружила кампанию, посвященную коронавирусу (COVID-19), в рамках которой распространялся загрузчик вредоносного ПО, доставляющий трояна, ворующего информацию FormBook.

Команда

CPR теперь отслеживает XLoader с тех пор, как он впервые появился в списке угроз в феврале.XLoader заимствует кодовую базу с Formbook, но также включает важные улучшения, такие как возможность компрометации систем macOS.

«6 февраля 2020 года началась новая эра: эра преемника Formbook под названием XLoader. В этот день XLoader был объявлен для продажи в одной из подпольных групп ». говорится в отчете, опубликованном CheckPoint. «20 октября 2020 года XLoader был выставлен на продажу на том же форуме, который использовался для продажи Formbook».

Вектор атаки представлен фишинговыми сообщениями, злоумышленники используют поддельные электронные письма, используя в качестве вложений документы Microsoft Office, содержащие в себе оружие.

XLoader предлагается клиентам по классической модели Malware-as-a-Service, продавец не указывает источник угрозы, а только предлагает его в аренду. Неясно, является ли продавец автором Formbook, известного как ng-Coder, но эксперты обнаружили доказательства связи между двумя участниками, например, сообщение от xloader к ng-Coder со словами: «Спасибо за помощь». :

«Вредоносная программа теперь имеет более прибыльную экономическую модель для авторов по сравнению с Formbook.Клиенты могут покупать вредоносное ПО только на ограниченный период времени и могут использовать только сервер, предоставленный продавцом; исходные коды панелей больше не продаются. Таким образом, используется схема «вредоносное ПО как услуга». Централизованная инфраструктура C&C позволяет авторам контролировать использование вредоносного ПО клиентами ». продолжает отчет.

Ниже предложение продавца:

Пакет	Цена
Windows, исполняемый, 1 месяц	$ 59
Windows, исполняемый, 3 месяца	$ 129
, macOS 1 месяц, macOS	$ 49
macOS, Mach-O, 3 месяца	$ 99

В период с 1 декабря 2020 г. по 1 июня 2021 г. исследователи видели запросы Formbook / XLoader из 69 стран, большинство из них из США (53%).

Во избежание обнаружения вредоносная программа использует расширенную сеть C2. Только 1300 из почти 90 000 доменов, используемых для сетевого взаимодействия, являются настоящими серверами C2. Остальные 88 000 доменов являются легальными сайтами, однако вредоносное ПО также отправляет на них вредоносный трафик. Этот метод направлен на усложнение работы поставщиков средств безопасности по отслеживанию реальных C&C серверов.

Новые возможности, реализованные в XLoader, и его низкая цена демонстрируют, что вредоносное ПО для MacOS становится привилегированной целью экосистемы киберпреступности.

Следуйте за мной в Twitter: @securityaffairs и Facebook

Пьерлуиджи Паганини

( SecurityAffairs — взлом, FormBook)

---

Поделиться

XLoader Вредоносное ПО Windows InfoStealer теперь обновлено для атаки на системы MacOS

Популярное вредоносное ПО, известное тем, что крадет конфиденциальную информацию с компьютеров Windows, превратилось в новый штамм, способный атаковать и операционную систему MacOS от Apple.

Обновленная вредоносная программа, получившая название «XLoader», является преемником другого хорошо известного средства для кражи информации на базе Windows под названием Formbook, которое, как известно, извлекает учетные данные из различных веб-браузеров, делает снимки экрана, записывает нажатия клавиш, а также загружает и выполняет файлы из контролируемых злоумышленниками домены.

«Всего за 49 долларов в даркнете хакеры могут покупать лицензии на новое вредоносное ПО, что дает возможность собирать учетные данные для входа в систему, собирать снимки экрана, регистрировать нажатия клавиш и выполнять вредоносные файлы», — говорится в отчете компании Check Point, занимающейся кибербезопасностью. с Hacker News.

Распространяется через поддельные электронные письма, содержащие вредоносные документы Microsoft Office, XLoader, по оценкам, зараженным жертвам в 69 странах в период с 1 декабря 2020 г. по 1 июня 2021 г., причем 53% заражений зарегистрированы только в США, за которыми следует специальный административный орган Китая. регионы (ЮАР), Мексика, Германия и Франция.

В то время как самые первые образцы Formbook были обнаружены в открытом доступе в январе 2016 года, продажа вредоносного ПО на подпольных форумах прекратилась в октябре 2017 года, а спустя более двух лет было возрождено в виде XLoader в феврале 2020 года.

В октябре 2020 года последний был выставлен на продажу на том же форуме, который использовался для продажи Formbook, сообщает Check Point. И Formbook, и его производная от XLoader, как утверждается, используют одну и ту же кодовую базу, при этом новый вариант включает существенные изменения, которые предоставляют ему новые возможности для компрометации систем MacOS.

Согласно статистическим данным, опубликованным Check Point ранее в январе этого года, Formbook занял третье место среди наиболее распространенных семейств вредоносных программ в декабре 2020 года, затронув 4% организаций во всем мире.Стоит отметить, что недавно обнаруженное вредоносное ПО XLoader для ПК и Mac отличается от XLoader для Android, которое было впервые обнаружено в апреле 2019 года.

«[XLoader] намного более зрелый и сложный, чем его предшественники, он поддерживает различные операционные системы, в частности компьютеры MacOS», — сказал Янив Балмас, руководитель отдела кибер-исследований Check Point. «Исторически вредоносное ПО для macOS не было таким распространенным явлением. Обычно оно попадает в категорию« шпионского ПО »и не причиняет слишком большого ущерба.«

«Хотя может существовать разрыв между вредоносными программами для Windows и MacOS, этот разрыв постепенно сокращается. Правда в том, что вредоносные программы для MacOS становятся все больше и опаснее», — отметил Балмас, добавив, что результаты «являются прекрасным примером и подтверждают это. растущая тенденция.»

Вирусная вредоносная программа для Windows XLoader теперь доступна на macOS

AppleInsider поддерживается своей аудиторией и может получать комиссию как ассоциированный и аффилированный партнер Amazon за соответствующие покупки.Эти партнерские отношения не влияют на наши редакционные материалы.

Особенно мощный вредоносный инструмент под названием XLoader был перенесен на Mac, и пользователи могут быть обмануты, предоставив ему доступ к паролям, буферу обмена и позволив ему делать снимки экрана.

«Хотя может существовать разрыв между вредоносными программами для Windows и MacOS, этот разрыв постепенно сокращается. На самом деле вредоносное ПО для MacOS становится все больше и опаснее», — сказал Янив Балмас из Check Point Security, который обнаружил версию для macOS. , рассказал Bleeping Computer .

Check Point Security ранее обнаруживала проблемы безопасности, начиная от приложения Apple «Контакты» до Amazon Alexa. В нем говорится, что XLoader, объединяющий Windows и Mac, является четвертым по популярности вредоносным инструментом за год до 1 июня 2021 года.

Первоначально известный как Formbook, XLoader изменился за последние несколько лет и стал не только кроссплатформенным, но и тем, что Check Point называет «вредоносным ПО как услугой». Злоумышленники могут эффективно арендовать вредоносное ПО, начиная с 49 долларов в месяц, при условии, что они также будут платить неуказанную дополнительную плату за использование определенных серверов, принадлежащих компании, стоящей за XLoader.

Этот злоумышленник может получить доступ к Mac пользователя. Однако XLoader нельзя добавить или запустить на Mac без явного разрешения этого пользователя. Таким образом, техническое вредоносное ПО обычно запускается вместе с социальными манипуляциями, чтобы обмануть пользователей и заставить работать XLoader.

«Одной из самых захватывающих особенностей нового [варианта] вредоносного ПО была его способность работать в macOS», — говорится в отчете Check Point Security. «Приблизительно 200 миллионов пользователей, использующих macOS в 2018 году (по данным Apple), определенно являются многообещающим новым рынком для вредоносного ПО.«

XLoader — шпионское ПО, эволюционировавшее из Formbook, чтобы заразить macOS

.

Хотя традиционно компьютеры Mac обеспечивают лучшую защиту от вредоносных программ по сравнению с ПК с Windows, он не является полностью защищенным. Недавние сообщения о новых вредоносных программах, нацеленных на macOS, особенно о вредоносных программах-вымогателях, показывают, что настольная платформа Apple набирает популярность как мишень для авторов вредоносных программ и хакеров. Фактически, отчет о новом виде вредоносного ПО показывает, насколько интересна macOS для этих злоумышленников, которые возродили почти забытое шпионское ПО для Windows, чтобы добавить поддержку для нацеливания на Mac.

Formbook был запущен в 2016 году и внезапно исчез в 2017 году как шпионское ПО, предназначенное только для Windows, которое собирало снимки экрана, регистрировало нажатия клавиш и даже запускало файлы с удаленных серверов. Автор утверждал, что это была простая шпионская программа, но покупатели этой вредоносной программы начали использовать ее для кампаний по электронной почте. Автор Formbook дистанцировался от такой деятельности и удалил вредоносное ПО из продажи.

Почти четыре года спустя Formbook возрождается как XLoader с почти теми же функциями, но с одним важным отличием.Помимо продажи ограниченных по времени копий для Windows, новый автор, который может быть или не быть связан с первоначальным автором Formbook, также продает лицензии на вредоносное ПО для macOS всего за 49 долларов. По этой цене XLoader угрожает заразить любую macOS и потенциально раскрыть учетные данные пользователей хакерам.

С одной стороны, точка заражения XLoader довольно проста, несмотря на расширенные функции вредоносного ПО.