Многочисленные похитители информации для платформы macOS продемонстрировали способность уклоняться от обнаружения даже тогда, когда компании по безопасности следят за новыми вариантами и часто сообщают о них.
В отчете компании SentinelOne эта проблема освещается на примере трех заметных вредоносных программ, способных обойти встроенную в macOS систему защиты от вредоносного ПО XProtect.
XProtect работает в фоновом режиме, сканируя загруженные файлы и приложения на наличие известных сигнатур вредоносного ПО.
Несмотря на то, что Apple постоянно обновляет базу данных вредоносных программ, SentinelOne утверждает, что похитители информации обходят ее практически мгновенно благодаря быстрой реакции авторов вредоносного ПО.
Обход XProtect
Первый пример в в отчете SentinelOne это KeySteal, вредоносная программа, впервые задокументированная в 2021 году, которая с тех пор претерпела значительные изменения.
В настоящее время она распространяется как двоичный файл Mach-O, построенный на Xcode, под названием 'UnixProject' или 'ChatGPT' и пытается установить постоянство и украсть информацию о связке ключей.
Keychain - это встроенная в macOS система управления паролями, служащая безопасным хранилищем учетных данных, закрытых ключей, сертификатов и заметок.
Последний раз Apple обновляла сигнатуру для KeySteal в феврале 2023 года, но с тех пор вредоносная программа получила достаточно изменений, чтобы пройти незамеченной через XProtect и большинство антивирусных систем.
Единственное слабое место вредоносной программы - использование жестко закодированных адресов команд и управления (C2), но в SentinelOne считают, что это лишь вопрос времени, когда создатели KeySteal внедрят механизм ротации.
Следующим вредоносным ПО, отмеченным в качестве примера уклонения, является Atomic Stealer, впервые задокументированный SentinelOne в мае 2023 года как новый крадущий код на базе Go и повторно рассмотренный Malwarebytes в ноябре 2023 г..
Apple в последний раз обновила сигнатуры и правила обнаружения XProtect в этом месяце, но SentinelOne уже сообщает о наличии вариантов на C++, которые могут уклоняться от обнаружения.
В последней версии Atomic Stealer обфускация кода заменена на чистый текст AppleScript, который раскрывает логику кражи данных, включает антивирусные проверки и предотвращает выполнение Терминала вместе с ним.
Третий пример в отчете - CherryPie, также известный как "Gary Stealer" или "JaskaGo", впервые замеченный в дикой природе 9 сентября 2023 года.
Кроссплатформенное вредоносное ПО на базе Go оснащено функциями антианализа и обнаружения виртуальных машин, оберткой Wails, специальными сигнатурами и системой отключения Gatekeeper с помощью привилегий администратора.
Хорошей новостью является то, что в начале декабря 2023 года Apple обновила сигнатуры XProtect для CherryPie, которые отлично работают даже для более новых итераций. Однако с обнаружением вредоносных программ у Virus Total дела обстоят не так хорошо.
Из вышесказанного становится ясно, что постоянное развитие вредоносного ПО с целью уклонения от обнаружения превращает эту рискованную игру в "мотыгу" как для пользователей, так и для производителей операционных систем.
Полагаться только на статическое обнаружение для обеспечения безопасности неадекватно и потенциально рискованно. Более надежный подход должен включать в себя антивирусное программное обеспечение, оснащенное расширенными возможностями динамического или эвристического анализа.
Кроме того, бдительный мониторинг сетевого трафика, использование брандмауэров и постоянное применение последних обновлений безопасности являются важнейшими компонентами комплексной стратегии кибербезопасности.
Если тебе понравилась статья - подпишись на канал, чтобы не пропустить ещё много полезных статей!
Также ты можешь читать меня здесь:
- Телеграм: https://t.me/gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru