Uma tendência preocupante surgiu na plataforma macOS. Vários ladrões de informações demonstraram uma capacidade notável de superar a detecção, mesmo diante do monitoramento e relatórios frequentes por parte das empresas de segurança.
XProtect, Sistema antimalware integrado do macOS, foi projetado para operar silenciosamente em segundo plano. Ele verifica arquivos e aplicativos baixados em busca de assinaturas de malware conhecidas, com o objetivo de garantir um ambiente de computação seguro para os usuários.
Contudo, um relatório recente do SentinelOne esclarece os desafios apresentados por três exemplos de malware particularmente notáveis que escapam com sucesso às defesas do XProtect.
Roubo de chave: Um infostealer persistente do macOS
Documentado pela primeira vez em 2021, a Roubo de chave O infostealer do macOS passou por uma evolução significativa para continuar sendo uma ameaça persistente. Distribuído como um binário Mach-O construído em Xcode, disfarçado de 'UnixProject’ ou 'ChatGPT,’ este malware busca estabelecer persistência e roubar informações das chaves.
Chaveiro, Sistema nativo de gerenciamento de senhas do macOS, armazena credenciais, chaves privadas, certificados, e notas com segurança. Apesar dos esforços da Apple para atualizar as assinaturas do XProtect para KeySteal em fevereiro 2023, as rápidas adaptações do malware continuam a escapar dos mecanismos de detecção.
Embora atualmente vulnerável devido a endereços de comando e controle codificados, SentinelOne antecipa a implementação iminente de um mecanismo de rotação pelos criadores do KeySteal.
ladrão atômico: Um malware em rápida evolução
Um participante relativamente recente, ladrão atômico, surgiu em maio 2023 como um Ladrão baseado em Go. Apesar das atualizações contínuas da Apple nas assinaturas do XProtect, SentinelOne já observou variantes C++ capazes de escapar da detecção.
A última iteração do Atomic Stealer emprega um AppleScript de texto simples, abandonando a ofuscação de código para expor sua lógica de roubo de dados. Incorporando verificações anti-VM e impedindo a execução do Terminal ao lado dele, este malware representa um desafio dinâmico para medidas de segurança.
Torta de cereja: Um ladrão multiplataforma
Identificado pela primeira vez em setembro 2023, Torta de cereja, também conhecido como 'Gary Stealer’ ou 'JaskaGo,’ é um malware infostealer de plataforma cruzada para macOS baseado em Go. Equipado com anti-análise e detecção de máquina virtual, assinaturas ad hoc, e a capacidade de desabilitar o Gatekeeper usando privilégios de administrador, CherryPie apresenta uma ameaça formidável.
conclusivos Pensamentos
Embora a atualização imediata das assinaturas XProtect da Apple em dezembro 2023 provou ser eficaz contra versões anteriores, detecções em plataformas como o Virus Total indicam vulnerabilidades potenciais.
Depender apenas de mecanismos de detecção estática revela-se inadequado e potencialmente arriscado. Uma abordagem mais dinâmica e adaptável deve incluir software antimalware com capacidades avançadas de análise dinâmica ou heurística. Isso é especialmente verdadeiro quando se trata de infostealers do macOS.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: