Una tendenza preoccupante è emersa sulla piattaforma macOS. Numerosi ladri di informazioni hanno dimostrato una notevole capacità di superare in astuzia il rilevamento, anche a fronte di frequenti controlli e segnalazioni da parte delle società di sicurezza.
XProtect, Il sistema anti-malware integrato di macOS, è progettato per funzionare silenziosamente in background. Esegue la scansione dei file e delle applicazioni scaricati alla ricerca di firme malware note, con l’obiettivo di garantire un ambiente informatico sicuro per gli utenti.
Tuttavia, un recente rapporto di SentinelOne fa luce sulle sfide poste da tre esempi di malware particolarmente degni di nota che sfuggono con successo alle difese di XProtect.
KeySteal: Un infostealer persistente per macOS
Documentato per la prima volta in 2021, il KeySteal L'infostealer di macOS ha subito un'evoluzione significativa per rimanere una minaccia persistente. Distribuito come binario Mach-O creato da Xcode, mascherato da "UnixProject".’ o "ChatGPT".,’ questo malware cerca di stabilire la persistenza e rubare le informazioni del portachiavi.
Portachiavi, Il sistema di gestione delle password nativo di macOS, memorizza le credenziali, chiavi private, certificati, e prendere appunti in modo sicuro. Nonostante gli sforzi di Apple per aggiornare le firme di XProtect per KeySteal a febbraio 2023, i rapidi adattamenti del malware continuano a sfuggire ai meccanismi di rilevamento.
Sebbene attualmente vulnerabile a causa degli indirizzi di comando e controllo codificati, SentinelOne anticipa l'imminente implementazione di un meccanismo di rotazione da parte dei creatori di KeySteal.
Ladro atomico: Un malware in rapida evoluzione
Un concorrente relativamente recente, Ladro atomico, emerso a maggio 2023 come un Ladro basato sul Go. Nonostante i continui aggiornamenti di Apple alle firme di XProtect, SentinelOne ha già osservato varianti C++ in grado di eludere il rilevamento.
L'ultima iterazione di Atomic Stealer utilizza un AppleScript in chiaro, abbandonando l'offuscamento del codice per esporre la sua logica di furto di dati. Incorporando controlli anti-VM e impedendo l'esecuzione del Terminale insieme ad esso, questo malware rappresenta una sfida dinamica per le misure di sicurezza.
Torta di ciliegie: Un ladro multipiattaforma
Identificato per la prima volta a settembre 2023, Torta di ciliegie, noto anche come "Gary Stealer".’ o 'JaskaGo,’ è un malware infostealer macOS multipiattaforma basato su Go. Dotato di anti-analisi e rilevamento macchina virtuale, firme ad hoc, e la possibilità di disabilitare Gatekeeper utilizzando i privilegi di amministratore, CherryPie rappresenta una minaccia formidabile.
Pensieri conclusive
Mentre il tempestivo aggiornamento da parte di Apple delle firme XProtect a dicembre 2023 si è rivelato efficace contro le versioni precedenti, i rilevamenti su piattaforme come Virus Total indicano potenziali vulnerabilità.
Affidarsi esclusivamente a meccanismi di rilevamento statico si rivela inadeguato e potenzialmente rischioso. Un approccio più dinamico e adattabile dovrebbe includere software anti-malware con capacità avanzate di analisi dinamica o euristica. Ciò è particolarmente vero quando si tratta di infostealer macOS.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: