De multiples voleurs d’informations pour la plate-forme macOS ont démontré leur capacité à échapper à la détection même lorsque les entreprises de sécurité suivent et signalent fréquemment de nouvelles variantes.

Un rapport de SentinelOne met en évidence le problème à travers trois exemples notables de logiciels malveillants qui peuvent échapper au système anti-malware intégré de macOS, XProtect.

XProtect fonctionne en arrière-plan lors de l’analyse des fichiers et des applications téléchargés à la recherche de signatures de logiciels malveillants connues.

Malgré la mise à jour constante de la base de données de logiciels malveillants de l’outil par Apple, SentinelOne affirme que les voleurs d’informations la contournent presque instantanément grâce à la réponse rapide des auteurs de logiciels malveillants.

Échapper à XProtect
Le premier exemple du rapport de SentinelOne est KeySteal, un malware documenté pour la première fois en 2021, qui a considérablement évolué depuis lors.

Actuellement, il est distribué sous la forme d’un binaire Mach-O construit par Xcode, nommé « UnixProject » ou « ChatGPT », et tente d’établir la persistance et de voler des informations de trousseau.

Keychain est le système de gestion des mots de passe natif de macOS servant de stockage sécurisé pour les informations d’identification, les clés privées, les certificats et les notes.

KeySteal déguisé en application ChatGPT

Apple a mis à jour sa signature pour le vol de clés pour la dernière fois en février 2023, mais le logiciel malveillant a reçu suffisamment de modifications depuis lors pour ne pas être détecté par XProtect et la plupart des moteurs antivirus.

Sa seule faiblesse actuelle est l’utilisation d’adresses de commande et de contrôle codées en dur (C2), mais SentinelOne pense que ce n’est qu’une question de temps avant que les créateurs de KeySteal implémentent un mécanisme de rotation.

Le prochain malware mis en évidence comme exemple d’évasion est Atomic Stealer, documenté pour la première fois par SentinelOne en mai 2023 en tant que nouveau voleur basé sur Go et revisité par Malwarebytes en novembre 2023.

Apple a mis à jour pour la dernière fois les signatures et les règles de détection Xprotect ce mois-ci, mais SentinelOne rapporte déjà observer des variantes C++ qui peuvent échapper à la détection.

La dernière version d’Atomic Stealer a remplacé l’obscurcissement du code par un AppleScript en texte clair qui expose sa logique de vol de données, inclut des vérifications anti-VM et empêche l’exécution du Terminal à ses côtés.

Arrêt automatique du Terminal

Le troisième exemple du rapport est Cherry Pie, également connu sous le nom de « Gary Stealer » ou « JaskaGo », vu pour la première fois à l’état sauvage le 9 septembre 2023.

Le malware multiplateforme basé sur Go propose une anti-analyse et une détection de machine virtuelle, un wrapping Wails, des signatures ad hoc et un système qui désactive Gatekeeper à l’aide des privilèges d’administrateur.

Tentative de désactivation du contrôleur d’accès

La bonne nouvelle est qu’Apple a mis à jour ses signatures XProtect pour Cherry Pie début décembre 2023, qui fonctionnent très bien même pour les nouvelles itérations. Cependant, les détections de logiciels malveillants ne se portent pas aussi bien sur Virus Total.

Il ressort clairement de ce qui précède que le développement continu de logiciels malveillants dans le but d’échapper à la détection en fait un jeu risqué de coups et blessures pour les utilisateurs et les fournisseurs de systèmes d’exploitation.

Se fier uniquement à la détection statique pour la sécurité est inadéquat et potentiellement risqué. Une approche plus robuste devrait intégrer un logiciel antivirus doté de capacités avancées d’analyse dynamique ou heuristique.

De plus, une surveillance vigilante du trafic réseau, la mise en place de pare-feu et l’application cohérente des dernières mises à jour de sécurité sont des éléments essentiels d’une stratégie de cybersécurité complète.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *