macOS kradljivci podatka izbjegavaju Xprotect

Veći broj kradljivaca podatak koji su namijenjeni za napade na macOS sisteme demonstrira sposobnosti izbjegavanja otkrivanja čak i kada ih bezbjednosne kompanije prate. Izvještaj kompanije SentinelOne ukazuje na ovaj problem na primjeru tri značajnija zlonamjerna softvera koji izbjegavaju macOS mehanizam zaštite Xprotect.

macOS

macOS kradljivci podatka izbjegavaju Xprotect; Source: Bing Image Creator

MACOS KRADLJIVCI PODATKA

Xprotect sigurnosni mehanizma zaštite za macOS operativne sisteme radi u pozadini skenirajući preuzete datoteke i aplikacije u potrazi za poznatim potpisima zlonamjernog softvera. Uprkos tome što kompanija Apple stalno ažurira bazu podatka sa novim podacima o zlonamjernom softveru, izvještaj pokazuje da kradljivci informacija zaobilaze Xprotect skoro trenutno zahvaljujući brzom odgovoru od strana zlonamjernih autora koji stoje iza ovih kradljivaca podataka.

U nastavku će biti riječi o tri aktivna kradljivca podataka koji trenutno izbjegavaju mnoge mehanizme za otkrivanje statičkih potpisa zlonamjernog softvera.

 

KeySteal

Zlonamjerni softver za krađu podatka KeySteal je prvi put uočen 2021. godine i dokumentovan od strane sigurnosne kompanije Trend Micro. Kompanije Apple dodala digitalni potpis ovog zlonamjernog softvera u Xprotect bazu u februaru 2023. godine, ali on je značajno evoluirao i danas ga ovaj mehanizam zaštite više ne otkriva.

Prvobitno, KeySteal kradljivac podatka se distribuirao u .pkg formatu kao macOS uslužni program “ReSignTool”. Legitimna aplikacija pod ovom nazivom je aplikacija otvorenog kôda namijenjena za potpisivanje i spajanje aplikacija u .ipa datoteke za distribuciju na iOS uređajima, što su zlonamjerni akteri pokušali iskoristiti.

KeySteal kradljivac podatka se trenutno distribuira kao MachO binarna datoteka izgrađena u Xcode-u pod nazivom “UnixProject” ili “ChatGPT” i pokušava da uspostavi postojanost kako bi izvršio krađu informacija iz aplikacije Keychain. Keychain je macOS ugrađena aplikacija za čuvanje lozinki i služi kao bezbjedno skladište za akreditive, privatne ključeve, certifikate i bilješke.

Jedini nedostatak KeySteal kradljivca podatka je korištenje predefinisanih adresa za komandno kontrolni server (C2). Međutim, prilično je realno za očekivati da će zlonamjerni akteri rotirati C2 adrese, pa je potrebno da sigurnosne kompanije razviju bolje načine detekcije.

 

Atomic

Zlonamjerni softver za krađu podatka Atomic je prvobitno dokumentovan od strane kompanije SentinelOne u maju 2023. godine, a o ovom kradljivcu informacija je bilo riječi u maju, septembru i novembru na ovom blogu.

Od kada je prvi put otkriven zlonamjerni softver za krađu podatka Atomic je doživio brojne promjene. Pored toga mnoge verzije ovog zlonamjernog softvera su primijećene u kibernetičkom prostoru, što ukazuje na potpuno različite razvojne lance, a ne na jednu verziju jezgra koja se ažurira.

Sigurnosna kompanija Malwarebytes je primijetila zamagljenu Go verziju ovog zlonamjernog softvera koja se pojavila ubrzo nakon što je kompanija Apple ažurirala Xprotect u januaru 2024. godine da prepoznaje opisanu verziju pod nazivom SOMA_E.

Od tada je već primijećeno varijacije ovog zlonamjernog softvera koje Xprotect ne otkriva. Početna distribucija je vjerovatno putem torrent preuzimanja ili platformi društvenih medija fokusiranih na igre, jer se zlonamjerni softver pojavljuje u .dmg obliku sa nazivima kao što su “CrackInstaller” i “Cozy World Launcher”.

 

CherryPie

Zlonamjerni softver za krađu podatka CherryPie, poznat još i pod nazivom Gary Stealer. Otkriven od strane AT&T Labs u decembru 2023. godine pod nazivom JaskaGO je ustvari isti zlonamjerni softver koji je detaljnije opisan ovdje.

Sigurnosni istraživači su primijetili da iako Apple Xprotect mehanizam zaštite ostaje postojan u detekciji ovog zlonamjernog softvera, ali rezultati na sigurnosnoj platformi VirusTotal nisu baš dobri kada je u pitanju njegova detekcija. Tako da, CherryPie uzorak koji se pojavio na ovoj platformi početom septembra 2023. godine i danas se ne detektuje kao zlonamjeran na ovoj platformi.

CherryPie kradljivac podataka je višeplatformski kradljivac koji napada Windows i macOS operativne sisteme. CherryPie je napisan u Go programskom jeziku i sadrži opsežne mehanizme za anti-analizu i otkrivanje virtuelnih mašina koje sigurnosni istraživači koriste za analizu zlonamjernog softvera. Uprkos tome, zlonamjerni autori koji se nalaze iza ovog zlonamjernog softvera su ipak ostavili dovoljno očiglednih nizova kôda koji ipak ukazuju na njegovu svrhu – krađa podatak i zlonamjernu namjernu.

 

ZAKLJUČAK

Kontinuiran razvoj zlonamjernih softvera za krađu podatka kao što su  KeySteal, Atomic i CherryPie samo naglašava izazove sa kojima se suočavaju korisnici macOS operativnih sistema. Uprkos konstantnim naporima kompanije Apple da ažurira svoj mehanizam za zaštitu korisnika Xprotect ažuriranjem baze potpisa zlonamjernih softvera, zlonamjerni akteri brzo ažuriraju ove softvere objavljujući nove verzije koje uspješno izbjegavaju detekciju.

Imajući u vidu sve navedeno, oslanjanje samo na otkrivanje zasnovano na potpisima nije dovoljno, jer zlonamjerni akteri imaju sredstva i motiv da se brzo prilagode. Korisnici se moraju osloniti na proaktivno traženje prijetnji, poboljšana pravila detekcije i svijest o taktici koja se razvija kako bi bili ispred prijetnji koje ciljaju macOS operativne sisteme.

 

ZAŠTITA

Kako bi se korisnici zaštitili od ovakvih zlonamjernih prijetnji, potrebno je da primjenjuju robusne mjere sajber bezbjednosti:

  • Ažuriranje svih uređaja i softvera je ključno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvođači često objavljuju bezbjednosna ažuriranja i ispravke kako bi riješili probleme poznatih ranjivosti. Blagovremenom primjenom ovih ažuriranja, korisnici mogu da zatvore potencijalne ulazne tačke.
  • Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti.
  • Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja.
  • Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora.
  • Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.