Ha surgido una tendencia preocupante en la plataforma macOS. Múltiples ladrones de información han demostrado una notable capacidad para burlar la detección., incluso frente al seguimiento y la presentación de informes frecuentes por parte de las empresas de seguridad.
XProtect, El sistema antimalware integrado de macOS, está diseñado para funcionar silenciosamente en segundo plano. Analiza archivos y aplicaciones descargados en busca de firmas de malware conocidas., con el objetivo de garantizar un entorno informático seguro para los usuarios.
Sin embargo, Un informe reciente de SentinelOne arroja luz sobre los desafíos que plantean tres ejemplos de malware particularmente notables que eluden con éxito las defensas de XProtect..
robo de llaves: Un ladrón de información persistente en macOS
Documentado por primera vez en 2021, la robo de llaves El infostealer de macOS ha experimentado una evolución significativa para seguir siendo una amenaza persistente. Distribuido como un binario Mach-O creado por Xcode, haciéndose pasar por 'UnixProject’ o 'ChatGPT,’ este malware busca establecer persistencia y robar información del llavero.
Llavero, El sistema de gestión de contraseñas nativo de macOS, almacena credenciales, claves privadas, certificados, y notas de forma segura. A pesar de los esfuerzos de Apple por actualizar las firmas de XProtect para KeySteal en febrero 2023, Las rápidas adaptaciones del malware siguen eludiendo los mecanismos de detección..
Aunque actualmente es vulnerable debido a direcciones de comando y control codificadas, SentinelOne anticipa la inminente implementación de un mecanismo de rotación por parte de los creadores de KeySteal.
Ladrón atómico: Un malware en rápida evolución
Un entrante relativamente reciente, Ladrón atómico, surgió en mayo 2023 como un Ladrón basado en Go. A pesar de las continuas actualizaciones de Apple de las firmas de XProtect, SentinelOne ya ha observado variantes de C++ capaces de evadir la detección.
La última versión de Atomic Stealer emplea un AppleScript de texto claro, abandonar la ofuscación del código para exponer su lógica de robo de datos. Incorporar controles anti-VM y evitar la ejecución del Terminal junto a él., Este malware plantea un desafío dinámico para las medidas de seguridad..
Pastel de cerezas: Un ladrón multiplataforma
Identificado por primera vez en septiembre 2023, Pastel de cerezas, también conocido como 'Gary Stealer’ o 'JaskaGo,’ es un malware de robo de información de macOS multiplataforma basado en Go. Equipado con antianálisis y detección de máquinas virtuales., firmas ad hoc, y la capacidad de desactivar Gatekeeper usando privilegios de administrador, CherryPie presenta una amenaza formidable.
Pensamientos concluyentes
Mientras que la pronta actualización de Apple de las firmas XProtect en diciembre 2023 demostró ser efectivo contra versiones anteriores, las detecciones en plataformas como Virus Total indican vulnerabilidades potenciales.
Depender únicamente de mecanismos de detección estática resulta inadecuado y potencialmente riesgoso. Un enfoque más dinámico y adaptable debería incluir software antimalware con capacidades avanzadas de análisis dinámico o heurístico.. Esto es especialmente cierto cuando se trata de ladrones de información de macOS.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: