Er is een zorgwekkende trend ontstaan op het macOS-platform. Meerdere informatiestelers hebben blijk gegeven van een opmerkelijk vermogen om detectie te slim af te zijn, zelfs ondanks de frequente monitoring en rapportage door beveiligingsbedrijven.
XProtect, Het ingebouwde antimalwaresysteem van macOS, is ontworpen om stil op de achtergrond te werken. Het scant gedownloade bestanden en applicaties op bekende malwarehandtekeningen, met als doel een veilige computeromgeving voor gebruikers te garanderen.
Echter, een recent rapport van SentinelOne werpt licht op de uitdagingen van drie bijzonder opmerkelijke malwarevoorbeelden die met succes de verdediging van XProtect ontwijken.
SleutelSteal: Een aanhoudende macOS Infostealer
Voor het eerst gedocumenteerd in 2021, de SleutelSteal macOS infostealer heeft een aanzienlijke evolutie ondergaan en blijft een aanhoudende bedreiging. Gedistribueerd als een door Xcode gebouwd Mach-O binair bestand, vermomd als 'UnixProject’ of 'ChatGPT,’ deze malware probeert persistentie vast te stellen en sleutelhangerinformatie te stelen.
Sleutelhanger, Het eigen wachtwoordbeheersysteem van macOS, slaat inloggegevens op, privé sleutels, certificaten, en noteert veilig. Ondanks de inspanningen van Apple om de handtekeningen van XProtect voor KeySteal in februari bij te werken 2023, De snelle aanpassingen van de malware blijven voorbij de detectiemechanismen glippen.
Hoewel momenteel kwetsbaar vanwege hardgecodeerde commando- en controleadressen, SentinelOne anticipeert op de aanstaande implementatie van een rotatiemechanisme door de makers van KeySteal.
Atomaire dief: Een snel evoluerende malware
Een relatief recente nieuwkomer, Atomaire dief, verscheen in mei 2023 als een Go-gebaseerde stealer. Ondanks Apple's voortdurende updates van de handtekeningen van XProtect, SentinelOne heeft al C++-varianten waargenomen die detectie kunnen omzeilen.
De nieuwste versie van Atomic Stealer maakt gebruik van een AppleScript met duidelijke tekst, het verlaten van codeverduistering om de logica van het stelen van gegevens bloot te leggen. Anti-VM-controles inbouwen en de uitvoering van de Terminal ernaast voorkomen, deze malware vormt een dynamische uitdaging voor beveiligingsmaatregelen.
Kersentaart: Een platformonafhankelijke steler
Voor het eerst geïdentificeerd in september 2023, Kersentaart, ook bekend als 'Gary Stealer'’ of 'JaskaGo,’ is een op Go gebaseerde platformonafhankelijke macOS-infostealer-malware. Uitgerust met anti-analyse en detectie van virtuele machines, ad-hoc handtekeningen, en de mogelijkheid om Gatekeeper uit te schakelen met beheerdersrechten, CherryPie vormt een formidabele bedreiging.
Conclusive Gedachten
Terwijl Apple's snelle update van XProtect-handtekeningen in december 2023 effectief gebleken tegen eerdere versies, detecties op platforms zoals Virus Total duiden op potentiële kwetsbaarheden.
Alleen vertrouwen op statische detectiemechanismen blijkt ontoereikend en potentieel riskant. Een meer dynamische en aanpasbare aanpak zou antimalwaresoftware met geavanceerde dynamische of heuristische analysemogelijkheden moeten omvatten. Dit geldt vooral als het gaat om macOS-infostealers.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: