Recientemente, un desarrollo preocupante ha surgido en el ámbito de la seguridad cibernética, específicamente para usuarios de macOS. Los ladrones de información, también conocidos como "info-stealers", están evolucionando rápidamente para eludir XProtect, el sistema de protección integrado de macOS.
Los info-stealers son programas maliciosos diseñados para robar información personal y confidencial de las computadoras. En macOS, han sido relativamente menos comunes debido a las robustas medidas de seguridad del sistema operativo, incluyendo XProtect. XProtect funciona como un antivirus básico, identificando y bloqueando software malicioso conocido. Sin embargo, estos programas maliciosos están evolucionando para burlar esta defensa.
Te podrá interesar leer: Infostealer: Un Ataque al Acecho
Varios delincuentes de datos en la plataforma macOS han demostrado la capacidad de eludir la detección incluso cuando las empresas de seguridad siguen informando regularmente sobre nuevas variantes. Un informe señala el problema a través de tres ejemplos de malware notables que pueden evadir el sistema antimalware integrado de macOS, conocido como XProtect.
Este programa funciona en segundo plano, escaneando archivos y aplicaciones descargados en busca de firmas de malware conocidas. A pesar de que Apple actualiza constantemente la base de datos de malware de esta herramienta, los delincuentes de datos son capaces de evitarla casi instantáneamente debido a la rápida respuesta de los autores del malware.
También te podrá interesar: Jamf Protect: Protección de Dispositivos macOS
KeySteal se disfraza como una aplicación llamada ChatGPT
En un informe se destaca el primer ejemplo de un malware denominado KeySteal, que fue inicialmente documentado en 2021 y ha experimentado cambios significativos desde entonces.
En su forma actual, se distribuye como un archivo binario Mach-O creado a través de Xcode y utiliza nombres como 'UnixProject' o 'ChatGPT'. Su principal objetivo es establecer persistencia en el sistema y llevar a cabo la extracción de información almacenada en Keychain.
Keychain, en este contexto, es el sistema de gestión de contraseñas nativo de macOS, utilizado para almacenar de manera segura credenciales, claves privadas, certificados y notas.
La firma de KeySteal recibió su última actualización por parte de Apple en febrero de 2023, pero desde entonces, el malware ha experimentado suficientes cambios como para eludir la detección de XProtect y la mayoría de los motores antivirus.
Su única vulnerabilidad actual reside en el uso de direcciones de comando y control (C2) codificadas, aunque se espera que los creadores de KeySteal implementen un mecanismo de rotación en un futuro próximo. Otro ejemplo de evasión es Atomic Stealer, que fue documentado por primera vez en mayo de 2023 como un nuevo malware basado en Go. Malwarebytes lo revisó en noviembre de 2023.
A pesar de la actualización reciente de las firmas y reglas de detección de XProtect por parte de Apple, se han observado variantes en C++ que logran evadir la detección. La versión más reciente de Atomic Stealer ha reemplazado la ofuscación del código por AppleScript de texto sin cifrar, exponiendo su lógica de robo de datos. Además, incluye comprobaciones anti-máquina virtual (VM) y evita que se ejecute la Terminal en conjunto con él.
El tercer ejemplo destacado en el informe es CherryPie, también conocido como 'Gary Stealer' o 'JaskaGo', que fue avistado por primera vez en la naturaleza el 9 de septiembre de 2023. Este malware multiplataforma basado en Go presenta medidas de antianálisis y detección de máquinas virtuales, utiliza envoltura de Wails, emplea firmas ad hoc y cuenta con un sistema que desactiva Gatekeeper aprovechando privilegios de administrador.
Conoce más sobre: Jaskago Malware: Entendiendo la Nueva Amenaza Basada en Go
Una noticia positiva es que Apple actualizó sus firmas XProtect para CherryPie a principios de diciembre de 2023, y estas siguen funcionando de manera efectiva incluso con las versiones más recientes. No obstante, las detecciones de malware no tienen el mismo éxito en Virus Total.
Este panorama deja en claro que el constante desarrollo de malware con el objetivo de evadir la detección plantea un desafío tanto para los usuarios como para los proveedores de sistemas operativos. Confiar únicamente en la detección estática para la seguridad se muestra insuficiente y potencialmente peligroso. Por tanto, un enfoque más sólido debería incluir software antivirus que cuente con capacidades avanzadas de análisis heurístico o dinámico.
Aunque los robadores de información para macOS son una amenaza real y creciente, hay algunas medidas que puedes tomar para proteger tu dispositivo y tus datos, como:
Podría interesarte: Acronis Backup for Mac: Copia de Seguridad en macOS
Los robadores de información para macOS son una amenaza que no debes subestimar, ya que pueden robar tus datos sensibles y causarte graves problemas. Estos programas maliciosos pueden evadir la detección de XProtect y otros motores de detección estática, y se adaptan constantemente a las nuevas medidas de defensa. Por eso, es importante que sigas las mejores prácticas de seguridad para proteger tu Mac y tus datos, y que utilices un antivirus de confianza que pueda detectar y bloquear los robadores de información y otras amenazas.