Los ladrones de información de macOS evolucionan para eludir XProtect

Muchos ladrones de información para la plataforma macOS han demostrado su capacidad para eludir la detección, incluso cuando las empresas de seguridad rastrean e informan con frecuencia de nuevas variantes.

Un informe de SentinelOne pone de relieve el problema a través de tres ejemplos notables de malware capaz de eludir el sistema antimalware integrado en macOS, XProtect.

XProtect funciona en segundo plano mientras analiza los archivos y aplicaciones descargados en busca de firmas de malware conocidas.

Aunque Apple actualiza constantemente la base de datos de malware de la herramienta, SentinelOne afirma que los ladrones de información lo eluden casi instantáneamente debido a la velocidad de respuesta de los autores de malware.

Evitar XProtect

El primer ejemplo citado en el informe de SentinelOne es KeySteal, un malware documentado por primera vez en 2021 y que ha evolucionado considerablemente desde entonces.

Actualmente se distribuye en forma de un binario Mach-O construido con Xcode llamado «UnixProject» o «ChatGPT», e intenta establecer persistencia y robar información del llavero.

El llavero es el sistema de gestión de contraseñas nativo de macOS que sirve como almacenamiento seguro para credenciales, claves privadas, certificados y notas.

Apple actualizó por última vez su firma para KeySteal en febrero de 2023, pero el malware ha sufrido suficientes cambios desde entonces como para no ser detectado por XProtect y la mayoría de los motores antivirus.

Su único punto débil actual es el uso de direcciones de mando y control (C2) codificadas, pero SentinelOne cree que es sólo cuestión de tiempo que los creadores de KeySteal implementen un mecanismo de rotación.

El siguiente malware presentado como ejemplo de evasión es Atomic Stealer, documentado por primera vez por SentinelOne en mayo de 2023 como un nuevo ladrón basado en Go y revisitado por Malwarebytes en noviembre de 2023.

Apple actualizó por última vez las firmas y reglas de detección de XProtect este mes, pero SentinelOne informa de que ya ha observado variantes de C++ capaces de evadir la detección.

La última versión de Atomic Stealer ha sustituido la ofuscación de código por un AppleScript en texto plano que expone su lógica de robo de datos, incluye controles anti-VM e impide la ejecución de Terminal junto a él.

El tercer ejemplo citado en el informe es CherryPie, también conocido como «Gary Stealer» o «JaskaGo», que apareció por primera vez en la naturaleza el 9 de septiembre de 2023.

Este malware multiplataforma basado en Go cuenta con detección antianálisis y de máquinas virtuales, un sobre Wails, firmas ad hoc y un sistema que desactiva Gatekeeper utilizando privilegios de administrador.

La buena noticia es que Apple actualizó sus firmas XProtect para CherryPie a principios de diciembre de 2023, que funcionan muy bien incluso para las iteraciones más recientes. Sin embargo, las detecciones de malware no son tan buenas en Virus Total.

De lo anterior se desprende claramente que el continuo desarrollo de malware para eludir la detección lo convierte en un juego arriesgado tanto para los usuarios como para los proveedores de sistemas operativos.

Confiar únicamente en la detección estática para garantizar la seguridad es inadecuado y potencialmente arriesgado. Un enfoque más sólido debería incorporar software antivirus con capacidades avanzadas de análisis dinámico o heurístico.

Además, la supervisión atenta del tráfico de red, la implantación de cortafuegos y la aplicación sistemática de las últimas actualizaciones de seguridad son elementos esenciales de una estrategia global de ciberseguridad.