Aparece en el entorno una nueva versión de un malware diseñado para atacar los sistemas Apple macOS, denominado XLoader, que oculta sus características maliciosas bajo la apariencia de una aplicación de productividad de oficina denominada «OfficeNote».
XLoader, que fue identificado por primera vez en 2020, se considera un sucesor de Formbook y se presenta como un software que roba información y registra las pulsaciones de teclado, y se ofrece bajo el modelo de malware como servicio (MaaS). Una versión de este malware diseñada para macOS emergió en julio de 2021, siendo distribuida como un programa Java en forma de un archivo .JAR compilado.
La versión más reciente de XLoader logra evadir esta limitación cambiando su enfoque hacia lenguajes de programación como C y Objective C, con el archivo de imagen de disco siendo firmado el 17 de julio de 2023. Desde entonces, Apple ha revocado dicha firma.
SentinelOne informó que detectó múltiples instancias del archivo sospechoso en VirusTotal a lo largo del mes de julio de 2023, lo que sugiere una campaña de propagación bastante extensa.
Una vez que se ejecuta, OfficeNote muestra un mensaje de error que indica que «no se puede abrir debido a que no se puede encontrar el elemento original», pero, en realidad, instala un Agente de Inicio en segundo plano para asegurar su persistencia en el sistema.
XLoader ha sido diseñado con el propósito de recopilar datos del portapapeles, así como información almacenada en las carpetas asociadas a navegadores web como Google Chrome y Mozilla Firefox. Sin embargo, Safari no se encuentra entre sus objetivos.
Además de implementar medidas para evitar ser detectado tanto de manera manual como por soluciones automatizadas, el malware está configurado para ejecutar comandos de pausa con el fin de retrasar su ejecución y pasar desapercibido.