Πολλά info-stealer malware που στοχεύουν συστήματα macOS, διαθέτουν δυνατότητες που τους επιτρέπουν να αποφεύγουν την ανίχνευση, παρόλο που όλο και περισσότερες εταιρείες αναφέρουν νέες παραλλαγές malware που εντοπίζουν.
Ερευνητές της SentinelOne περιέγραψαν τρία γνωστά macOS malware, που μπορούν να αποφύγουν το ενσωματωμένο σύστημα προστασίας από κακόβουλο λογισμικό, το XProtect.
Το XProtect λειτουργεί στο παρασκήνιο κατά τη σάρωση ληφθέντων αρχείων και εφαρμογών για να προειδοποιήσει τους χρήστες για πιθανή κακόβουλη δραστηριότητα.
Παρά το γεγονός ότι η Apple ενημερώνει συνεχώς τη βάση δεδομένων του εργαλείου με νέα δείγματα malware που εντοπίζονται, η SentinelOne λέει ότι κάποια info-stealer το παρακάμπτουν σχεδόν αμέσως, χάρη στη γρήγορη απόκριση των δημιουργών του κακόβουλου λογισμικού.
Δείτε επίσης: Atomic Stealer: Νέα έκδοση του malware στοχεύει macOS
Πώς τα MacOS info–stealer malware αποφεύγουν το XProtect;
Το πρώτο παράδειγμα που αναφέρει η SentinelOne είναι το KeySteal, ένα κακόβουλο λογισμικό που εντοπίστηκε για πρώτη φορά το 2021. Έκτοτε έχει εξελιχθεί σημαντικά και τώρα διανέμεται ως Xcode-built Mach-O binary, με το όνομα «UnixProject» ή «ChatGPT». Στόχος του είναι να εδραιώσει persistence και να υποκλέψει πληροφορίες Keychain.
Το Keychain είναι το εγγενές σύστημα διαχείρισης κωδικών πρόσβασης του macOS που επιτρέπει την ασφαλή αποθήκευση credentials, ιδιωτικών κλειδιών, πιστοποιητικών και σημειώσεων.
Η Apple ενημέρωσε τελευταία φορά τη βάση δεδομένων της σχετικά με το KeySteal, τον Φεβρουάριο του 2023. Ωστόσο, οι ερευνητές λένε ότι το info-stealer malware έχει λάβει αλλαγές από τότε, ώστε να περάσει απαρατήρητο από το XProtect και τις περισσότερες μηχανές AV.
Η μόνη τρέχουσα αδυναμία του είναι η χρήση hardcoded command and control (C2) addresses. Ωστόσο, αυτό δεν σημαίνει κάτι, καθώς οι δημιουργοί του μπορεί σύντομα να εφαρμόσουν έναν μηχανισμό rotation.
Δείτε επίσης: SpectralBlur: Ένα νέο backdoor που στοχεύει συστήματα macOS
Το επόμενο macOS info-stealer malware είναι το Atomic Stealer που βασίζεται στη Go. Η Apple ενημέρωσε τελευταία φορά τα signatures και τους κανόνες ανίχνευσης του XProtect αυτόν τον μήνα, αλλά οι ερευνητές έχουν παρατηρήσει παραλλαγές C++ που μπορούν και πάλι να αποφύγουν τον εντοπισμό.
Η πιο πρόσφατη έκδοση του Atomic Stealer έχει αντικαταστήσει το code obfuscation με καθαρό κείμενο AppleScript που εκθέτει το data-stealing logic, περιλαμβάνει ελέγχους anti-VM και εμποδίζει την εκτέλεση του Terminal δίπλα του.
Τέλος, άλλο ένα malware που αποφεύγει την ανίχνευση, είναι το CherryPie, γνωστό και ως «Gary Stealer» ή «JaskaGo». Είναι το πιο νέο από τα τρία (εμφανίστηκε το Σεπτέμβριο του 2023).
Το κακόβουλο λογισμικό στοχεύει πολλές πλατφόρμες και διαθέτει δυνατότητες αποφυγής της ανάλυσης και ανίχνευσης Wails wrapping, ad hoc signatures και ένα σύστημα που απενεργοποιεί το Gatekeeper χρησιμοποιώντας δικαιώματα διαχειριστή.
Η Apple ενημέρωσε τα XProtect signatures για το CherryPie info-stealer malware στις αρχές Δεκεμβρίου 2023 και λειτουργούν πολύ καλά ακόμη και για νεότερες παραλλαγές. Ωστόσο, οι ανιχνεύσεις κακόβουλου λογισμικού δεν τα πηγαίνουν τόσο καλά στο Virus Total.
Τα παραπάνω δείχνουν ότι όλο και περισσότεροι κυβερνοεγκληματίες δημιουργούν macOS malware που είναι ανθεκτικά στην ανίχνευση και παρακάμπτουν συστήματα ασφαλείας των συσκευών.
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Δείτε επίσης: Τα info-stealer malware στοχεύουν την online gaming κοινότητα
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν MacOS info-stealer.
Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: www.bleepingcomputer.com
