Los piratas informáticos están desarrollando el robo de información malware para macOS a tal ritmo que Manzana no puedo seguir el ritmo. Como resultado, múltiples variantes frecuentemente pasan por alto el sistema antimalware de macOS, XProtect, y roban datos confidenciales de puntos finales comprometidos.
Esto es según un nuevo informe de los investigadores de ciberseguridad SentinelOne, que dio tres ejemplos: KeySteal, Atomic Stealer y CherryPie. KeySteal es un malware de robo de información detectado por primera vez en 2021, que ha evolucionado significativamente desde entonces. Está diseñado para robar información de Keychain, el administrador de contraseñas nativo de macOS donde los usuarios pueden almacenar credenciales, claves privadas, notas y más.
La última vez que Apple actualizó su firma para KeySteal fue hace aproximadamente un año, en febrero de 2023, pero el malware ha experimentado un cambio tan dramático desde entonces que XProtect ya no lo detecta. Su única debilidad, por el momento, es la dirección del servidor de comando y control (C2) codificada, pero los investigadores creen que los desarrolladores también abordarán esto pronto.
Detección estática inadecuada
Atomic Stealer, por otro lado, fue visto por primera vez en mayo de 2023, y aunque Apple actualizó la firma de XProtect A principios de enero de este año, algunas variantes todavía lo están superando. También conocido como AMOS, este ladrón de información es capaz de algo más que simplemente capturar datos de Keychain: roba información de la mayoría de los navegadores populares (contraseñas, datos de tarjetas de crédito, etc.), así como de billeteras de criptomonedas. También puede robar cookies de sitios web para evitar contraseñas y autenticación multifactor.
Finalmente, CherryPie (a veces denominado Gary Stealer o JaskaGo) se vio por primera vez a principios de septiembre del año pasado. XProtect detecta la mayoría de sus variantes, pero los investigadores aún dicen que está lejos de ser ideal.
La moraleja de la historia, según SentinelOne, es que tanto las organizaciones como los consumidores no deberían depender únicamente de la detección estática por motivos de seguridad. Se necesita un enfoque más sólido, que incluya software antivirus con capacidades avanzadas de análisis dinámico o heurístico.
A través de pitidocomputadora