Principais InfoStealers contornando mecanismos de segurança!
Certos softwares maliciosos com foco na obtenção ilegal de informações e dados existem atualmente em abundância. Eles demonstraram proficiência em contornar o XProtect, uma medida de segurança integrada no macOS, mesmo quando as empresas de segurança procuram ativamente e relatam rapidamente novas iterações de tais ameaças.
SentinelOne, uma empresa de segurança, trouxe à luz vários casos de malware projetados para contornar o sistema XProtect inerente ao macOS. Este sistema opera como um processo automatizado e transparente para os usuários, verificando continuamente arquivos e aplicativos baixados em busca de atividades suspeitas ou assinaturas de malware conhecidas.
Para manter uma defesa robusta contra ameaças potenciais, a Apple atualiza continuamente seu banco de dados de malware XProtect. No entanto, a SentinelOne afirma que certos tipos de software malicioso, especificamente aqueles utilizados para roubo de dados, desenvolveram a capacidade de contornar estas medidas de segurança quase imediatamente após serem lançadas. Esta rápida adaptação por parte dos cibercriminosos permite-lhes atualizar as suas ferramentas mais rapidamente do que a Apple consegue responder com contramedidas, tornando assim ineficazes as defesas tradicionais baseadas em assinaturas.
O relatório do SentinelOne mostra uma instância inicial do malware KeySteal, que foi inicialmente detectado em 2021 e passou por um desenvolvimento substancial desde então. Atualmente, ele se distribui na forma de um arquivo binário Mach-O gerado usando Xcode e denominado UnixProject ou ChatGPT. Este software malicioso visa garantir a presença persistente no sistema operacional alvo enquanto extrai dados confidenciais das chaves do macOS.
A iteração mais recente do vírus KeySteal no banco de dados XProtect remonta a fevereiro de 2023; no entanto, as modificações subsequentes foram sutis o suficiente para evitar a detecção tanto pelo XProtect quanto pelo software antivírus. Embora a única vulnerabilidade atual resida na utilização de endereços codificados para comunicação de servidores de comando e controle, especialistas em segurança prevêem que é apenas uma questão de tempo até que os criadores adotem uma estratégia de rotação de endereços.
Em uma demonstração recente fornecida pelo SentinelOne, uma instância do Atomic Stealer foi exibida como segunda ilustração. Este software malicioso específico foi inicialmente detectado na primavera do ano anterior, levando a Apple a atualizar posteriormente suas definições de assinatura e conjuntos de regras XProtect durante o primeiro mês deste ano. No entanto, parece que o SentinelOne teve experiência anterior na observação de versões variantes C++ da cepa Atomic Stealer original, que são conhecidas por operar secretamente.
Concluindo, o SentinelOne apresenta três exemplos para ilustrar seu ponto de vista sobre as limitações das soluções antivírus atuais na detecção de novas ameaças. Os dois primeiros exemplos, Wirepump e HiddenReflex, são malwares avançados projetados especificamente para evitar a detecção. O terceiro exemplo, CherryPie, é uma ameaça multiplataforma que utiliza técnicas de ofuscação e evita medidas de segurança do macOS com privilégios de administrador. Embora o banco de dados de assinaturas Xprotect da Apple tenha sido atualizado para detectar versões mais recentes desse malware, outros antivírus populares, como o VirusTotal, ainda não foram atualizados.
A natureza dinâmica das ameaças à segurança exige uma abordagem proativa por parte dos usuários, a fim de garantir que seus sistemas funcionem de forma segura, sem ocorrência de eventos inesperados. A manutenção de versões atuais de sistemas operacionais e software constitui apenas um aspecto de um plano eficaz de mitigação de riscos; medidas adicionais, como inspeções regulares de dispositivos e monitoramento da atividade da rede, também devem ser implementadas.
*️⃣ Link da fonte: