Une tendance inquiétante est apparue sur la plateforme macOS. De nombreux voleurs d'informations ont démontré une capacité remarquable à déjouer la détection, même face à une surveillance et à des rapports fréquents de la part des sociétés de sécurité.
XProtect, Le système anti-malware intégré à macOS, est conçu pour fonctionner silencieusement en arrière-plan. Il analyse les fichiers et les applications téléchargés à la recherche de signatures de logiciels malveillants connues., visant à garantir un environnement informatique sécurisé aux utilisateurs.
Cependant, un récent rapport de SentinelOne met en lumière les défis posés par trois exemples de logiciels malveillants particulièrement remarquables qui ont réussi à échapper aux défenses de XProtect.
Vol de clé: Un voleur d'informations macOS persistant
Documenté pour la première fois dans 2021, la Vol de clé macOS infostealer a subi une évolution significative pour rester une menace persistante. Distribué sous forme de binaire Mach-O construit par Xcode, se faisant passer pour 'UnixProject’ ou 'ChatGPT,’ ce malware cherche à établir la persistance et à voler les informations du trousseau.
Porte-clés, Le système de gestion de mots de passe natif de macOS, stocke les informations d'identification, clés privées, certificats, et note en toute sécurité. Malgré les efforts d'Apple pour mettre à jour les signatures XProtect pour KeySteal en février 2023, les adaptations rapides du malware continuent d'échapper aux mécanismes de détection.
Bien qu'actuellement vulnérable en raison d'adresses de commande et de contrôle codées en dur, SentinelOne anticipe la mise en place imminente d'un mécanisme de rotation par les créateurs de KeySteal.
Voleur atomique: Un logiciel malveillant en évolution rapide
Un entrant relativement récent, Voleur atomique, est apparu en mai 2023 comme un Voleur basé sur Go. Malgré les mises à jour continues par Apple des signatures de XProtect, SentinelOne a déjà observé des variantes C++ capables d'échapper à la détection.
La dernière itération d'Atomic Stealer utilise un AppleScript en texte clair, abandonner l'obscurcissement du code pour exposer sa logique de vol de données. Intégrer des contrôles anti-VM et empêcher l'exécution du terminal à côté de lui, ce malware pose un défi dynamique pour les mesures de sécurité.
Tarte Aux Cerise: Un voleur multiplateforme
Identifié pour la première fois en septembre 2023, Tarte Aux Cerise, également connu sous le nom de « Gary Stealer »’ ou 'JaskaGo,’ est un malware multiplateforme macOS infostealer basé sur Go. Equipé d'anti-analyse et de détection de machine virtuelle, signatures ponctuelles, et la possibilité de désactiver Gatekeeper à l'aide des privilèges d'administrateur, CherryPie présente une formidable menace.
pensées conclusives
Alors que la mise à jour rapide des signatures XProtect par Apple en décembre 2023 s'est avéré efficace contre les versions antérieures, les détections sur des plateformes comme Virus Total indiquent des vulnérabilités potentielles.
S'appuyer uniquement sur des mécanismes de détection statique s'avère inadéquat et potentiellement risqué. Une approche plus dynamique et adaptable devrait inclure un logiciel anti-malware doté de capacités avancées d'analyse dynamique ou heuristique.. Cela est particulièrement vrai lorsqu'il s'agit d'infostealers macOS.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: