Gli esperti di SentinelOne hanno individuato tre malware che possono aggirare la funzionalità XProtect di macOS. Si tratta di KeySteal, Atomic Stealer e CherryPie, info-stealer in grado di rubare diversi dati, password comprese. Apple ha aggiornato le firme per rilevare queste minacce, ma i cybercriminali modificano spesso il codice per rendere inutile la protezione.
Tre info-stealer aggirano XProtect
XProtect è una tecnologia antivirus, integrata in macOS a partire dalla versione 10.15, che rileva e rimuove il malware in base alle firme YARA. Viene eseguita in background e blocca l’app o il file al primo avvio. Apple aggiorna automaticamente le firme per garantire la massima sicurezza. I tre info-stealer individuati dagli esperti di SentinelOne possono però aggirare la protezione.
L’azienda di Cupertino ha aggiunto la firma di KeySteal circa un anno fa, ma le ultime versioni non vengono rilevate. Il malware viene distribuito come binari Mach-O, denominati ChatGPT o UnixProject. Può accedere al password manager (Keychain) di macOS e installare componenti per mantenere la persistenza. L’unico punto debole è la presenza degli indirizzi dei server C2 (command and control) nel codice.
Apple ha recentemente aggiornato XProtect per bloccare Atomic Stealer, ma circola già una nuova versione scritta in C++ (invece che in Go) che non viene rilevata. Il malware viene distribuito in formato DMG tramite torrent o siti di gaming.
Infine, CherryPie (noto anche come Gary Stealer o JaskaGo) è un info-stealer scritto in Go che può disattivare Gakepeer, la tecnologia che verifica l’autenticità del software scaricato. Al momento, XProtect rileva il malware, ma i cybercriminali potrebbero modificare il codice delle prossime versioni.
SentinelOne sottolinea che la protezione basata solo sulle firme (statica) è insufficiente. Sarebbe preferibile usare un antivirus con analisi dinamica o euristica.