Numerosi info-stealer per macOS hanno dimostrato la capacità di eludere il rilevamento anche quando le società di sicurezza seguono e segnalano frequentemente nuove varianti. In un report, la società di sicurezza SentinelOne ha evidenziato il problema attraverso tre esempi di malware che possono eludere XProtect, ovvero il sistema anti-malware integrato di macOS. Quest’ultimo funziona in background durante la scansione dei file e delle app scaricati alla ricerca di firme malware note. Nonostante Apple aggiorni costantemente il database dei malware dello strumento, SentinelOne afferma che gli info-stealer lo aggirano quasi istantaneamente grazie alla rapida risposta degli autori del malware.

Info-stealer su macOS: il caso dei malware KeySteal, Atomic Stealer e CherryPie

Il primo esempio nel rapporto di SentinelOne è KeySteal, un malware documentato per la prima volta nel 2021. Attualmente, è distribuito come binario Mach-O creato da Xcode, denominato “UnixProject” o “ChatGPT” e tenta di rubare informazioni sul portachiavi. Apple ha aggiornato l’ultima volta la sua firma per KeySteal nel febbraio 2023, ma da allora il malware ha ricevuto modifiche sufficienti per passare inosservato da XProtect. Il secondo malware evidenziato come esempio di evasione è Atomic Stealer, documentato per la prima volta nel maggio 2023 come un nuovo stealer basato su Go. Apple ha aggiornato l'ultima volta le firme e le regole di rilevamento di XProtect questo mese. Tuttavia, SentinelOne segnala già di aver osservato varianti C++ che possono eludere il rilevamento.

Il terzo esempio nel report è CherryPie, alias “Gary Stealer” o “JaskaGo”, segnalato inizialmente il 9 settembre 2023. Tale malware è dotato di anti-analisi e rilevamento di macchine virtuali, wrapping Wails, firme ad hoc e un sistema che disabilita Gatekeeper utilizzando i privilegi di amministratore. Apple ha aggiornato le sue firme XProtect per CherryPie a dicembre 2023, ma i rilevamenti di malware non funzionano bene su Virus Total. Il continuo sviluppo di malware con l'obiettivo di eludere il rilevamento è pericoloso sia per gli utenti che per i fornitori di OS. Affidarsi esclusivamente al rilevamento statico per la sicurezza è inadeguato e potenzialmente rischioso. Un approccio più efficace dovrebbe incorporare antivirus con funzionalità avanzate di analisi dinamica o euristica. Inoltre, il monitoraggio del traffico di rete, l’implementazione dei firewall e l’applicazione coerente degli ultimi aggiornamenti di sicurezza sono componenti essenziali di una strategia completa di sicurezza informatica.