Ekspertët e SentinelOne kanë identifikuar tre malware që mund të anashkalojnë veçorinë XProtect të macOS. Këto janë KeySteal, Atomic Stealer dhe CherryPie, info-vjedhës të aftë për të vjedhur të dhëna të ndryshme, duke përfshirë fjalëkalimet. Apple ka përditësuar nënshkrimet për të zbuluar këto kërcënime, por kriminelët kibernetikë shpesh modifikojnë kodin për ta bërë mbrojtjen të padobishme.
Tre info-stealer anashkalojnë XProtect
XProtect është një teknologji antivirus, e integruar në macOS duke filluar nga versioni 10.15, që zbulon dhe heq malware bazuar në nënshkrimet YARA. Ai funksionon në sfond dhe bllokon aplikacionin ose skedarin në fillimin e parë. Apple përditëson automatikisht nënshkrimet për të siguruar sigurinë maksimale. Sidoqoftë, tre vjedhësit e informacionit të identifikuar nga ekspertët e SentinelOne mund ta anashkalojnë mbrojtjen.
Kompania Cupertino shtoi nënshkrimin KeySteal rreth një vit më parë, por versionet e fundit nuk janë zbuluar. Malware shpërndahet si binare Mach-O, të quajtur ChatGPT ose UnixProject. Mund të hyjë në menaxherin e fjalëkalimeve të macOS (Keychain) dhe të instalojë komponentë për të ruajtur qëndrueshmërinë. E vetmja pikë e dobët është prania e adresave të serverit C2 (komandë dhe kontroll) në kod.
Apple përditësoi së fundmi XProtect për të bllokuar Atomic Stealer, por një version i ri i shkruar në C++ (në vend të Go) tashmë po qarkullon dhe nuk është zbuluar. Malware shpërndahet në formatin DMG nëpërmjet torrenteve ose faqeve të lojërave.
Finally,the CherryPie (i njohur gjithashtu si Gary Stealer ose JaskaGo) është një vjedhës informacioni i shkruar në Go që mund të çaktivizojë Gakepeer, teknologjinë që verifikon vërtetësinë e softuerit të shkarkuar. Aktualisht, XProtect zbulon malware, por kriminelët kibernetikë mund të modifikojnë kodin e versioneve të ardhshme.
SentinelOne thekson se mbrojtja (statike) vetëm me nënshkrime është e pamjaftueshme. Do të ishte e preferueshme të përdorni një antivirus me analizë dinamike ose heuristike.
Discussion about this post