(https://i.postimg.cc/Zn7yM7Wv/crack-passwords.png) (https://postimages.org/)
Múltiples ladrones de información para la plataforma macOS han demostrado la capacidad de evadir la detección incluso cuando las empresas de seguridad siguen e informan sobre nuevas variantes con frecuencia.
Un informe de SentinelOne destaca el problema a través de tres ejemplos de malware notables que pueden evadir el sistema antimalware integrado de macOS, XProtect.
XProtect funciona en segundo plano mientras escanea archivos y aplicaciones descargados en busca de firmas de malware conocidas.
A pesar de que Apple actualiza constantemente la base de datos de malware de la herramienta, SentinelOne dice que los ladrones de información la evitan casi instantáneamente gracias a la rápida respuesta de los autores del malware.
Evadir XProtect
El primer ejemplo del informe de SentinelOne es KeySteal, un malware documentado por primera vez en 2021, que ha evolucionado significativamente desde entonces.
Actualmente, se distribuye como un binario Mach-O creado por Xcode, llamado 'UnixProject' o 'ChatGPT' e intenta establecer persistencia y robar información de Keychain.
Keychain es el sistema de administración de contraseñas nativo de macOS que sirve como almacenamiento seguro para credenciales, claves privadas, certificados y notas.
El primer ejemplo del informe de SentinelOne es KeySteal, un malware documentado por primera vez en 2021, que ha evolucionado significativamente desde entonces.
Actualmente, se distribuye como un binario Mach-O creado por Xcode, llamado 'UnixProject' o 'ChatGPT' e intenta establecer persistencia y robar información de Keychain.
Keychain es el sistema de administración de contraseñas nativo de macOS que sirve como almacenamiento seguro para credenciales, claves privadas, certificados y notas.
KeySteal disfrazado de aplicación ChatGPT
(https://i.postimg.cc/HxJy5VX5/KeySteal.png) (https://postimages.org/)
Apple actualizó por última vez su firma para KeySteal en febrero de 2023, pero el malware ha recibido suficientes cambios desde entonces como para pasar desapercibido para XProtect y la mayoría de los motores AV.
Su única debilidad actual es el uso de direcciones de comando y control (C2) codificadas, pero SentinelOne cree que es solo cuestión de tiempo antes de que los creadores de KeySteal implementen un mecanismo de rotación.
El siguiente malware destacado como ejemplo de evasión es Atomic Stealer, documentado por primera vez por SentinelOne en mayo de 2023 como un nuevo ladrón basado en Go y revisado por Malwarebytes en noviembre de 2023.
Apple actualizó por última vez las firmas y las reglas de detección de XProtect este mes, pero SentinelOne informa que ya observa variantes de C++ que pueden evadir la detección.
El tercer ejemplo del informe es CherryPie, también conocido como 'Gary Stealer' o 'JaskaGo', visto por primera vez en estado salvaje el 9 de septiembre de 2023.
El malware multiplataforma basado en Go presenta antianálisis y detección de máquinas virtuales, envoltura de Wails, firmas ad hoc y un sistema que desactiva Gatekeeper usando privilegios de administrador.
La última versión de Atomic Stealer ha reemplazado la ofuscación del código con AppleScript de texto sin cifrar que expone su lógica de robo de datos, incluye comprobaciones anti-VM e impide ejecutar la Terminal junto con él.
La buena noticia es que Apple actualizó sus firmas XProtect para CherryPie a principios de diciembre de 2023, que funcionan muy bien incluso para las versiones más nuevas. Sin embargo, las detecciones de malware no funcionan tan bien en Virus Total.
De lo anterior queda claro que el desarrollo continuo de malware con el objetivo de evadir la detección hace que este sea un juego arriesgado de golpear al topo tanto para los usuarios como para los proveedores de sistemas operativos.
Depender únicamente de la detección estática para la seguridad es inadecuado y potencialmente riesgoso. Un enfoque más sólido debería incorporar software antivirus equipado con capacidades avanzadas de análisis heurístico o dinámico.
Además, la supervisión atenta del tráfico de la red, la implementación de firewalls y la aplicación constante de las últimas actualizaciones de seguridad son componentes esenciales de una estrategia integral de ciberseguridad.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/macos-info-stealers-quickly-evolve-to-evade-xprotect-detection/