Ladrões de informações do MacOS evoluem rapidamente para evitar a detecção do XProtect
17 de Janeiro de 2024

Diversos ladrões de informações para a plataforma macOS mostraram a capacidade de evadir a detecção, mesmo quando empresas de segurança seguem e relatam novas variantes frequentemente.

Um relatório da SentinelOne destaca o problema através de três exemplos notáveis de malwares que podem evadir o sistema antimalware integrado do macOS, o XProtect.

O XProtect trabalha em segundo plano enquanto faz a varredura de arquivos baixados e aplicativos em busca de assinaturas de malwares conhecidos.

Apesar da Apple atualizar constantemente a base de dados de malwares da ferramenta, a SentinelOne diz que os ladrões de informações conseguem driblá-lo quase imediatamente graças à rápida resposta dos autores do malware.

O primeiro exemplo no relatório da SentinelOne é o KeySteal, um malware documentado pela primeira vez em 2021, que evoluiu significativamente desde então.

Atualmente, ele é distribuído como um binário Mach-O construído em Xcode, chamado 'UnixProject' ou 'ChatGPT', e tenta estabelecer persistência e roubar informações do Keychain.

Keychain é o sistema de gerenciamento de senhas nativo do macOS que serve como um armazenamento seguro para credenciais, chaves privadas, certificados e anotações.

A Apple atualizou sua assinatura para KeySteal pela última vez em fevereiro de 2023, mas o malware recebeu mudanças suficientes desde então para passar despercebido pelo XProtect e pela maioria dos motores de AV.

Sua única fraqueza atual é o uso de endereços de comando e controle (C2) codificados, mas a SentinelOne acredita que é apenas uma questão de tempo até que os criadores do KeySteal implementem um mecanismo de rotação.

O próximo malware destacado como exemplo de evasão é o Atomic Stealer, documentado pela primeira vez pela SentinelOne em maio de 2023 como um novo ladrão baseado em Go e revisitado pelo Malwarebytes em novembro de 2023.

A Apple atualizou as assinaturas e regras de detecção do XProtect este mês, mas a SentinelOne já observa variantes em C++ que podem evadir a detecção.

A versão mais recente do Atomic Stealer substituiu a ofuscação de código por AppleScript em texto claro que expõe sua lógica de roubo de dados, inclui verificações anti-VM e impede a execução do Terminal ao lado dele.

O terceiro exemplo no relatório é o CherryPie, também conhecido como 'Gary Stealer' ou 'JaskaGo', visto pela primeira vez na natureza em 9 de setembro de 2023.

O malware cross-platform baseado em Go possui características anti-análise e detecção de máquinas virtuais, assinaturas ad hoc, e um sistema que desativa o Gatekeeper usando privilégios de administrador.

A boa notícia é que a Apple atualizou suas assinaturas no XProtect para CherryPie no início de dezembro de 2023, que funcionam muito bem mesmo para as novas iterações.

No entanto, as detecções de malware não se saem tão bem no Virus Total.

Fica claro a partir do acima que o contínuo desenvolvimento de malwares com o objetivo de evadir detecção torna isso um jogo arriscado de acertar toupeiras para os usuários e fornecedores de sistemas operacionais.

Confiar apenas na detecção estática para segurança é inadequado e potencialmente arriscado.

Uma abordagem mais robusta deve incorporar software antivírus equipado com capacidades avançadas de análise dinâmica ou heurística.

Além disso, o monitoramento vigilante do tráfego de rede, a implementação de firewalls e a aplicação consistente das últimas atualizações de segurança são componentes essenciais de uma estratégia de segurança cibernética abrangente.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...