Un nuovo report di SentinelOne mette in luce una situazione preoccupante: molti malware info-stealer per macOS eludono XProtect, di conseguenza non vengono rilevati e possono agire indisturbati.
XProtect è il sistema anti-malware integrato in macOS, ma nonostante gli sforzi di Apple nell’aggiornare il database malware dello strumento, software malevoli come KeySteal, Atomic Stealer e CherryPie riescono a eludere la rilevazione quasi istantaneamente.
KeySteal è un malware che mira a rubare il contenuto del Portachiavi Apple, il password manager integrato nei dispositivi Apple e si nasconde nei sistemi fingendosi un file Mach-O creato con Xcode, solitamente chiamato “ChatGPT” o “UnixProject”; Atomic Stealer è basato su Go, ma l’ultima versione usa AppleScript e riesce a ingannare XProtect, impedendo anche l’esecuzione del terminale mentre ruba dati; CherryPie infine è molto recente, ha fatto la sua prima apparizione a settembre 2023 ed è anch’esso basato su Go, integra funzionalità anti-analisi e anti-rilevamento e, nonostante Apple abbia aggiornato XProtect a dicembre 2023 per rilevarlo, continua ad eludere i controlli di sicurezza del sistema.
Come potete vedere, c’è un tema ricorrente tra questi malware: il continuo sviluppo per eludere i sistemi di rilevazione, così da poter agire indisturbati sui dispositivi infetti. Dal report emerge come la rilevazione statistica sia inadeguata e potenzialmente rischiosa, motivo per cui è necessario cambiare approccio, affidandosi ai migliori antivirus per Mac, che includono capacità di analisi dinamica o euristica.
Altre pratiche da attuare prevedono il monitoraggio del traffico di rete, l’implementazione di un firewall e l’applicazione degli ultimi aggiornamenti di sicurezza, tutte componenti cruciali per una strategia di sicurezza informatica completa.