En bekymrende tendens er dukket op på macOS-platformen. Flere informationstyve har fremvist en bemærkelsesværdig evne til at overliste detektion, selv i lyset af hyppig overvågning og rapportering fra sikkerhedsfirmaer.
XProtect, macOS's indbyggede anti-malware-system, er designet til at fungere stille i baggrunden. Den scanner downloadede filer og applikationer for kendte malware-signaturer, sigter mod at sikre et sikkert computermiljø for brugerne.
Men, en nylig rapport fra SentinelOne kaster lys over de udfordringer, som tre særligt bemærkelsesværdige malware-eksempler medfører, som med succes undgår XProtects forsvar.
KeySteal: En vedvarende macOS Infostealer
Først dokumenteret i 2021, den KeySteal macOS infostealer har gennemgået en betydelig udvikling for at forblive en vedvarende trussel. Distribueret som en Xcode-bygget Mach-O binær, maskeret som 'UnixProject’ eller 'ChatGPT,’ denne malware søger at etablere persistens og stjæle nøglering information.
Nøglering, macOS's native password management system, gemmer legitimationsoplysninger, private nøgler, certifikater, og noter sikkert. På trods af Apples bestræbelser på at opdatere XProtects signaturer til KeySteal i februar 2023, malwarens hurtige tilpasninger fortsætter med at glide forbi opdagelsesmekanismer.
Mens den i øjeblikket er sårbar på grund af hårdkodede kommando- og kontroladresser, SentinelOne forudser den forestående implementering af en rotationsmekanisme af KeySteals skabere.
Atomic Stealer: Hurtigt udviklende malware
En forholdsvis ny deltager, Atomic Stealer, dukkede op i maj 2023 som en Go-baseret stjæler. På trods af Apples løbende opdateringer til XProtects signaturer, SentinelOne har allerede observeret C++-varianter, der er i stand til at undgå detektion.
Den seneste iteration af Atomic Stealer anvender et klartekst AppleScript, opgive kode sløring for at afsløre dens data-tyveri logik. Inkorporerer anti-VM-tjek og forhindrer udførelse af terminalen ved siden af den, denne malware udgør en dynamisk udfordring for sikkerhedsforanstaltninger.
CherryPie: En Cross-Platform Stealer
Først identificeret i september 2023, CherryPie, også kendt som 'Gary Stealer’ eller 'JaskaGo,’ er en Go-baseret macOS infostealer malware på tværs af platforme. Udstyret med anti-analyse og virtuel maskindetektion, ad hoc underskrifter, og muligheden for at deaktivere Gatekeeper ved hjælp af administratorrettigheder, CherryPie udgør en formidabel trussel.
afgørende Tanker
Mens Apples hurtige opdatering af XProtect-signaturer i december 2023 viste sig at være effektiv mod tidligere versioner, Detektioner på platforme som Virus Total indikerer potentielle sårbarheder.
At stole udelukkende på statiske detektionsmekanismer viser sig utilstrækkeligt og potentielt risikabelt. En mere dynamisk og tilpasningsdygtig tilgang bør omfatte anti-malware-software med avancerede dynamiske eller heuristiske analysefunktioner. Dette gælder især, når det kommer til macOS infostealers.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: