{"id":5965,"date":"2024-01-20T12:40:23","date_gmt":"2024-01-20T11:40:23","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5965"},"modified":"2024-01-20T12:40:23","modified_gmt":"2024-01-20T11:40:23","slug":"macos-kradljivci-podatka-izbjegavaju-xprotect","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/01\/20\/macos-kradljivci-podatka-izbjegavaju-xprotect\/","title":{"rendered":"macOS kradljivci podatka izbjegavaju Xprotect"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Ve\u0107i broj kradljivaca podatak koji su namijenjeni za napade na <em>macOS<\/em> sisteme demonstrira sposobnosti izbjegavanja otkrivanja \u010dak i kada ih bezbjednosne kompanije prate. <a href=\"https:\/\/www.sentinelone.com\/blog\/the-many-faces-of-undetected-macos-infostealers-keysteal-atomic-cherrypie-continue-to-adapt\/\" target=\"_blank\" rel=\"noopener\">Izvje\u0161taj kompanije <em>SentinelOne<\/em><\/a> ukazuje na ovaj problem na primjeru tri zna\u010dajnija <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerna softvera<\/a> koji izbjegavaju <em>macOS<\/em> mehanizam za\u0161tite <em>Xprotect<\/em>.<\/span><\/p>\n<div id=\"attachment_5967\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5967\" class=\"size-full wp-image-5967\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/macOS-kradljivci-podatka.jpg\" alt=\"macOS\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/macOS-kradljivci-podatka.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/macOS-kradljivci-podatka-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/macOS-kradljivci-podatka-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/macOS-kradljivci-podatka-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/macOS-kradljivci-podatka-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/macOS-kradljivci-podatka-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/01\/macOS-kradljivci-podatka-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5967\" class=\"wp-caption-text\"><em>macOS kradljivci podatka izbjegavaju Xprotect; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/20\/macos-kradljivci-podatka-izbjegavaju-xprotect\/#MACOS_KRADLJIVCI_PODATKA\">MACOS KRADLJIVCI PODATKA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/20\/macos-kradljivci-podatka-izbjegavaju-xprotect\/#KeySteal\">KeySteal<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/20\/macos-kradljivci-podatka-izbjegavaju-xprotect\/#Atomic\">Atomic<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/20\/macos-kradljivci-podatka-izbjegavaju-xprotect\/#CherryPie\">CherryPie<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/20\/macos-kradljivci-podatka-izbjegavaju-xprotect\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/01\/20\/macos-kradljivci-podatka-izbjegavaju-xprotect\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"MACOS_KRADLJIVCI_PODATKA\"><\/span><span style=\"font-size: 14pt;\"><strong><em>MACOS<\/em> KRADLJIVCI PODATKA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Xprotect<\/em> sigurnosni mehanizma za\u0161tite za <em>macOS<\/em> operativne sisteme radi u pozadini skeniraju\u0107i preuzete datoteke i aplikacije u potrazi za poznatim potpisima zlonamjernog softvera. Uprkos tome \u0161to kompanija <em>Apple<\/em> stalno a\u017eurira bazu podatka sa novim podacima o zlonamjernom softveru, izvje\u0161taj pokazuje da kradljivci informacija zaobilaze <em>Xprotect<\/em> skoro trenutno zahvaljuju\u0107i brzom odgovoru od strana <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernih autora<\/a> koji stoje iza ovih kradljivaca podataka.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U nastavku \u0107e biti rije\u010di o tri aktivna kradljivca podataka koji trenutno izbjegavaju mnoge mehanizme za otkrivanje stati\u010dkih potpisa zlonamjernog softvera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"KeySteal\"><\/span><span style=\"font-size: 14pt;\"><strong><em>KeySteal<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver za kra\u0111u podatka <em>KeySteal <\/em>je prvi put uo\u010den 2021. godine i dokumentovan od strane sigurnosne kompanije <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/k\/pilfered-keys-free-app-infected-by-malware-steals-keychain-data.html\" target=\"_blank\" rel=\"noopener\"><em>Trend<\/em> <em>Micro<\/em><\/a>. Kompanije Apple dodala digitalni potpis ovog zlonamjernog softvera u <em>Xprotect <\/em>bazu u februaru 2023. godine, ali on je zna\u010dajno evoluirao i danas ga ovaj mehanizam za\u0161tite vi\u0161e ne otkriva.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Prvobitno, <em>KeySteal<\/em> kradljivac podatka se distribuirao u .<em>pkg<\/em> formatu kao <em>macOS<\/em> uslu\u017eni program \u201c<em>ReSignTool<\/em>\u201d. Legitimna aplikacija pod ovom nazivom je aplikacija otvorenog k\u00f4da namijenjena za potpisivanje i spajanje aplikacija u .<em>ipa<\/em> datoteke za distribuciju na <em>iOS<\/em> ure\u0111ajima, \u0161to su zlonamjerni akteri poku\u0161ali iskoristiti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>KeySteal<\/em> kradljivac podatka se trenutno distribuira kao <em>Mach<\/em>&#8211;<em>O<\/em> binarna datoteka izgra\u0111ena u <em>Xcode-<\/em>u pod nazivom \u201c<em>UnixProject<\/em>\u201d ili \u201c<em>ChatGPT<\/em>\u201d i poku\u0161ava da uspostavi postojanost kako bi izvr\u0161io kra\u0111u informacija iz aplikacije <em>Keychain<\/em>. <em>Keychain<\/em> je macOS ugra\u0111ena aplikacija za \u010duvanje <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinki<\/a> i slu\u017ei kao bezbjedno skladi\u0161te za akreditive, privatne klju\u010deve, certifikate i bilje\u0161ke.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedini nedostatak <em>KeySteal<\/em> kradljivca podatka je kori\u0161tenje predefinisanih adresa za komandno kontrolni server (<em>C2<\/em>). Me\u0111utim, prili\u010dno je realno za o\u010dekivati da \u0107e zlonamjerni akteri rotirati <em>C2<\/em> adrese, pa je potrebno da sigurnosne kompanije razviju bolje na\u010dine detekcije.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Atomic\"><\/span><span style=\"font-size: 14pt;\"><strong><em>Atomic<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver za kra\u0111u podatka <em>Atomic<\/em> je prvobitno dokumentovan od strane kompanije <em>SentinelOne<\/em> u maju 2023. godine, a o ovom kradljivcu informacija je bilo rije\u010di u <a href=\"https:\/\/sajberinfo.com\/en\/2023\/05\/10\/atomic-macos-zlonamjerni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">maju<\/a>, <a href=\"https:\/\/sajberinfo.com\/en\/2023\/09\/14\/atomic-macos-nova-kampanja\/\" target=\"_blank\" rel=\"nofollow noopener\">septembru<\/a> i <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/23\/atomic-stealer-se-siri-putem-laznih-azuriranja\/\" target=\"_blank\" rel=\"nofollow noopener\">novembru<\/a> na ovom blogu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Od kada je prvi put otkriven zlonamjerni softver za kra\u0111u podatka <em>Atomic<\/em> je do\u017eivio brojne promjene. Pored toga mnoge verzije ovog zlonamjernog softvera su primije\u0107ene u kiberneti\u010dkom prostoru, \u0161to ukazuje na potpuno razli\u010dite razvojne lance, a ne na jednu verziju jezgra koja se a\u017eurira.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sigurnosna kompanija <em>Malwarebytes<\/em> je primijetila zamagljenu <em>Go<\/em> verziju ovog zlonamjernog softvera koja se pojavila ubrzo nakon \u0161to je kompanija <em>Apple<\/em> a\u017eurirala <em>Xprotect<\/em> u januaru 2024. godine da prepoznaje opisanu verziju pod nazivom <em>SOMA_E<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Od tada je ve\u0107 primije\u0107eno varijacije ovog zlonamjernog softvera koje <em>Xprotect<\/em> ne otkriva. Po\u010detna distribucija je vjerovatno putem <em>torrent<\/em> preuzimanja ili platformi dru\u0161tvenih medija fokusiranih na igre, jer se zlonamjerni softver pojavljuje u .<em>dmg<\/em> obliku sa nazivima kao \u0161to su \u201c<em>CrackInstaller<\/em>\u201d i \u201c<em>Cozy World Launcher<\/em>\u201d.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"CherryPie\"><\/span><span style=\"font-size: 14pt;\"><strong><em>CherryPie<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver za kra\u0111u podatka <em>CherryPie<\/em>, poznat jo\u0161 i pod nazivom <em>Gary<\/em> <em>Stealer. <\/em>Otkriven od strane <em>AT&amp;T Labs<\/em> u decembru 2023. godine pod nazivom <em>JaskaGO<\/em> je ustvari isti zlonamjerni softver koji je detaljnije opisan <a href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/27\/jaskago-napada-windows-i-macos-sisteme\/\" target=\"_blank\" rel=\"nofollow noopener\">ovdje<\/a>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su primijetili da iako <em>Apple Xprotect<\/em> mehanizam za\u0161tite ostaje postojan u detekciji ovog zlonamjernog softvera, ali rezultati na sigurnosnoj platformi <em>VirusTotal<\/em> nisu ba\u0161 dobri kada je u pitanju njegova detekcija. Tako da, <em>CherryPie <\/em>uzorak koji se pojavio na ovoj platformi po\u010detom septembra 2023. godine i danas se ne detektuje kao zlonamjeran na ovoj platformi.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>CherryPie<\/em> kradljivac podataka je vi\u0161eplatformski kradljivac koji napada <em>Windows<\/em> i <em>macOS<\/em> operativne sisteme. <em>CherryPie <\/em>je napisan u <em>Go<\/em> programskom jeziku i sadr\u017ei opse\u017ene mehanizme za anti-analizu i otkrivanje virtuelnih ma\u0161ina koje sigurnosni istra\u017eiva\u010di koriste za analizu zlonamjernog softvera. Uprkos tome, zlonamjerni autori koji se nalaze iza ovog zlonamjernog softvera su ipak ostavili dovoljno o\u010diglednih nizova k\u00f4da koji ipak ukazuju na njegovu svrhu \u2013 kra\u0111a podatak i zlonamjernu namjernu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kontinuiran razvoj zlonamjernih softvera za kra\u0111u podatka kao \u0161to su\u00a0 <em>KeySteal<\/em>, <em>Atomic<\/em> i <em>CherryPie<\/em> samo nagla\u0161ava izazove sa kojima se suo\u010davaju korisnici <em>macOS<\/em> operativnih sistema. Uprkos konstantnim naporima kompanije <em>Apple<\/em> da a\u017eurira svoj mehanizam za za\u0161titu korisnika <em>Xprotect<\/em> a\u017euriranjem baze potpisa zlonamjernih softvera, zlonamjerni akteri brzo a\u017euriraju ove softvere objavljuju\u0107i nove verzije koje uspje\u0161no izbjegavaju detekciju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Imaju\u0107i u vidu sve navedeno, oslanjanje samo na otkrivanje zasnovano na potpisima nije dovoljno, jer zlonamjerni akteri imaju sredstva i motiv da se brzo prilagode. Korisnici se moraju osloniti na proaktivno tra\u017eenje prijetnji, pobolj\u0161ana pravila detekcije i svijest o taktici koja se razvija kako bi bili ispred prijetnji koje ciljaju <em>macOS<\/em> operativne sisteme.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi se korisnici za\u0161titili od ovakvih zlonamjernih prijetnji, potrebno je da primjenjuju robusne mjere sajber bezbjednosti:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">A\u017euriranje svih ure\u0111aja i softvera je klju\u010dno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvo\u0111a\u010di \u010desto objavljuju bezbjednosna a\u017euriranja i ispravke kako bi rije\u0161ili probleme poznatih ranjivosti. Blagovremenom primjenom ovih a\u017euriranja, korisnici mogu da zatvore potencijalne ulazne ta\u010dke.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti provjerena <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosna rije\u0161enja<\/a> opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i sprije\u010dile zlonamjerne aktivnosti.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je biti oprezna sa dolaznom elektronskom po\u0161tom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatno\u0107e da \u0107e pokrenuti proces infekcije ure\u0111aja.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti oprezan prilikom pretra\u017eivanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadr\u017ee zlonamjerni softver koji mo\u017ee zaraziti ure\u0111aj prilikom otvaranja takvih stranica.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Ve\u0107i broj kradljivaca podatak koji su namijenjeni za napade na macOS sisteme demonstrira sposobnosti izbjegavanja otkrivanja \u010dak i kada ih bezbjednosne kompanije prate. Izvje\u0161taj kompanije SentinelOne ukazuje na ovaj problem na primjeru tri zna\u010dajnija&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":5967,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[580,687,640,686,144,685],"class_list":["post-5965","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-atomic-stealer","tag-cherrypie","tag-jaskago","tag-keysteal","tag-macos","tag-xprotect"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5965","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5965"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5965\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5967"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5965"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5965"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5965"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}