Alcuni malware infostealer riescono ad aggirare i meccanismi di sicurezza di macOS: ecco quali
Gli autori di malware sono sempre più reattivi nel modificare i propri strumenti per sfuggire ai sistemi di rilevamento integrati nel sistema operativo della Mela
di Andrea Bai pubblicata il 17 Gennaio 2024, alle 16:21 nel canale SicurezzamacOS
Sono in circolazione numerosi malware di tipo "information stealer", cioè dedicati alla sottrazione non autorizzata di informazioni e dati, che hanno dimostrato la capacità di aggirare il sistema di rilevamento XProtect integrato nel sistema operativo macOS nonostante l'assetto proattivo delle società di sicurezza a seguire e segnalare tempestivamente nuove varianti.
E' la società di sicurezza SentinelOne a fare luce sulla situazione, mostrando tre esempi di malware capaci di eludere il sistema XProtect integrato in macOS. Si tratta, sintetizzando, di un processo in background che esegue la scansione, in maniera automatica e trasparente all'utente, dei file e delle app scaricate alla ricerca di firme malware conosciute.
Apple aggiorna costantemente il database malware di XProtect, ma SentinelOne sostiene che gli information stealer riescono ad aggirarlo in maniera quasi istantanea per via di una maggior tempestività e reattività degli autori del malware ad aggiornare a loro volta i propri strumenti di minaccia.
Il primo esempio che SentinelOne mostra nel suo resoconto è KeySteal, malware che è stato osservato per la prima volta nel 2021 e che da allora si è evoluto in maniera significativa. Al momento attuale viene distribuito come file binary Mach-O creato da Xcode e con il nome di UnixProject o ChatGPT. Il suo obiettivo è quello di stabilire persistenza nel sistema operativo e sottrarre le informazioni contneute nel portachiavi di macOS.
L'ultimo aggiornamento di firme per KeySteal nel database di XProtect risale a febbraio 2023, ma da allora il malware ha ricevuto alcune piccole modifiche sufficienti per passare inosservato da XProtect e da molti motori antivirus. L'unico punto debole attuale è l'uso di indirizzi codificati per i server di comando e controllo, ma i ricercatori di sicurezza sostengono che sia solo questione di tempo prima che i suoi autori passino ad un sistema a rotazione di indirizzi.
Atomic Stealer è invece il secondo esempio mostrato da SentinelOne: si tratta di un malware riscontrato per la prima volta nella primavera dello scorso anno per il quale Apple ha aggiornato le firme e le regole di rilevamento di XProtect proprio in questo mese di gennaio. SentinelOne afferma però di aver già avuto modo di osservare varianti C++ (la versione originale di Atomic Stealer è invece basata sul Go) che possono passare inosservate.
Infine il terzo esempio citato da SentinelOne è CherryPie, conosciuto anche con i nomi di Gary Stealer o JaskaGo ed è stato osservato per la prima volta a settembre 2023. Si tratta di un malware multipiattaforma basato su Go e provvisto di sistemi di offuscamento avanzati, oltre ad un sistema che disabilita Gatekeeper di macOS usando permessi di amministratore. Apple ha aggiornalto le firme Xprotect all'inizio di dicembre 2023 e al momento sembra che anche le versioni più recenti riescano ad essere rilevate; lo stesso però non si può dire per Virus Total.
Il panorama delle minacce è sempre in continua e purtroppo vivace evoluzione e richiede un assetto maggiormente proattivo da parte dell'utente per sincerarsi che tutto stia funzionando in maniera sicura ed affidabile, e che non avvenga qualcosa di indesiderato dietro le quinte. Mantenere aggiornati i propri sistemi operativi e software è solo una parte di una adeguata strategia di riduzione del rischio, a cui vanno aggiunti controlli periodici su dispositivi e traffico di rete.
2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoArticolo estremamente interessante.
A dimostrazione purtroppo del fatto che non esiste nessuna "fortezza inespugnabile" !
A dimostrazione purtroppo del fatto che non esiste nessuna "fortezza inespugnabile" !
Vero
Non che servisse questa notizia
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".