¿Alguna vez te has preguntado qué malware puede detectar y eliminar macOS sin la ayuda de software de terceros? Apple agrega continuamente nuevas reglas de detección de malware al paquete XProtect integrado de Mac. Si bien la mayoría de los nombres de las reglas (firmas) están confusos, con un poco de ingeniería inversa, los investigadores de seguridad pueden asignarlos a sus nombres industriales comunes. ¡Vea qué malware puede eliminar su Mac a continuación! 9to5Mac Security Bite es exclusivo de Mosyle, la única plataforma unificada de Apple. Todo lo que hacemos es hacer que los dispositivos Apple estén listos para trabajar y sean seguros para la empresa. Nuestro exclusivo enfoque integrado de gestión y seguridad combina soluciones de seguridad de última generación específicas de Apple para endurecimiento y cumplimiento totalmente automatizados, EDR de próxima generación, confianza cero impulsada por IA y gestión de privilegios exclusiva con el MDM de Apple más potente y moderno. en el mercado. El resultado es una Plataforma Unificada Apple totalmente automatizada, en la que actualmente confían más de 45.000 organizaciones para que millones de dispositivos Apple estén listos para funcionar sin esfuerzo y a un costo asequible. Solicite su PRUEBA EXTENDIDA hoy y comprenda por qué Mosyle es todo lo que necesita para trabajar con Apple. XProtect, Yara manda, ¿eh? XProtect se introdujo en 2009 como parte de macOS X 10.6 Snow Leopard. Inicialmente, se lanzó para detectar y alertar a los usuarios si se descubría malware en un archivo de instalación. Sin embargo, XProtect ha evolucionado significativamente recientemente. El retiro de la antigua herramienta de eliminación de malware (MRT) en abril de 2022 impulsó la aparición de XProtectRemediator (XPR), un componente antimalware nativo más capaz responsable de detectar y remediar amenazas en Mac. La suite XProtect utiliza la detección basada en firmas de Yara para identificar malware. Yara en sí es una herramienta de código abierto ampliamente adoptada que identifica archivos (incluido el malware) en función de características y patrones específicos en el código o metadatos. Lo bueno de las reglas de Yara es que cualquier organización o individuo puede crear y utilizar las suyas propias, incluida Apple. A partir de macOS 14 Sonoma, la suite XProtect consta de tres componentes principales: La aplicación XProtect en sí, que puede detectar malware utilizando las reglas de Yara cada vez que una aplicación se inicia, cambia o actualiza sus firmas por primera vez. XProtectRemediator (XPR) es más proactivo y puede detectar y eliminar malware mediante escaneos regulares con reglas de Yara, entre otras cosas. Estos ocurren en segundo plano durante períodos de baja actividad y tienen un impacto mínimo en la CPU. XProtectBehaviorService (XBS) se agregó con la última versión de macOS y monitorea el comportamiento del sistema en relación con los recursos críticos. Desafortunadamente, Apple utiliza principalmente esquemas de nombres internos genéricos en XProtect que confunden los nombres de malware comunes. Si bien esto se hace por una buena razón, crea una tarea desafiante para aquellos curiosos por saber exactamente qué malware XProtect puede identificar. Por ejemplo, algunas reglas de Yara reciben nombres más obvios, como XProtect_MACOS_PIRRIT_GEN, una firma para detectar el adware Pirrit. Sin embargo, en XProtect, encontrará en gran medida reglas más genéricas como XProtect_MACOS_2fc5997 y firmas internas que sólo los ingenieros de Apple conocerían, como XProtect_snowdrift. Aquí es donde entran los investigadores de seguridad como Phil Stokes y Alden. Phil Stokes de Sentinel One Labs administra un práctico repositorio en GitHub que asigna estas firmas ofuscadas utilizadas por Apple a nombres más comunes utilizados por los proveedores y que se encuentran en escáneres de malware públicos como VirusTotal. Además, Alden ha logrado recientemente avances significativos en la comprensión de cómo funciona XPR al extraer reglas de Yara de los binarios de su módulo de escaneo. ¿Qué malware puede eliminar macOS? Si bien la aplicación XProtect en sí solo puede detectar y bloquear amenazas, todo depende de los módulos de escaneo de XPR para su eliminación. Actualmente, podemos identificar 14 de los 23 remediadores en la versión actual de XPR (v133) para mantener el malware fuera de su máquina. 23 módulos de escaneo en XProtectRemdiator v133 Adload: cargador de adware y paquetes de software dirigido a usuarios de macOS desde 2017. Adload fue capaz de evitar la detección antes de la actualización principal de XProtect del mes pasado que agregó 74 nuevas reglas de detección de Yara, todas dirigidas al malware. BadGacha: Aún no identificado. BlueTop: “BlueTop parece ser la campaña Trojan-Proxy que Kaspersky cubrió a finales de 2023”, dice Alden. CardboardCutout: Aún no identificado. ColdSnap: “Es probable que ColdSnap esté buscando la versión macOS del malware SimpleTea. Esto también se asoció con la violación de 3CX y comparte características con las variantes de Linux y Windows”. SimpleTea (SimplexTea en Linux) es un troyano de acceso remoto (RAT) que se cree que se originó en la RPDC. Crapyrator: Crapyrator ha sido identificado como macOS.Bkdr.Activator. Se trata de una campaña de malware descubierta en febrero de 2024 que “infecta a los usuarios de macOS a gran escala, potencialmente con el fin de crear una botnet de macOS o distribuir otro malware a escala”, afirma Phil Stokes de Sentinel One. DubRobber: un gotero troyano versátil y preocupante, también conocido como XCSSET. Eicar: un archivo inofensivo diseñado intencionalmente para activar escáneres antivirus sin ser dañino. FloppyFlipper: Aún no identificado. Genieo: un programa potencialmente no deseado (PUP) documentado con mucha frecuencia. Tanto es así que incluso tiene su propia página de Wikipedia. GreenAcre: Aún no identificado. KeySteal: KeySteal es un ladrón de información de macOS observado inicialmente en 2021 y agregado a XProtect en febrero de 2023. MRTv3: esta es una colección de componentes de detección y eliminación de malware protegidos en XProtect desde su predecesor, la herramienta de eliminación de malware (MRT). Pirrit: Pirrit es un adware para macOS que apareció por primera vez en 2016. Se sabe que inyecta anuncios emergentes en páginas web, recopila datos privados del navegador de los usuarios e incluso manipula la clasificación de búsqueda para redirigir a los usuarios a páginas maliciosas. RankStank: «Esta regla es una de las más obvias, ya que incluye las rutas a los ejecutables maliciosos encontrados en el incidente 3CX», dice Alden. 3CX fue un ataque a la cadena de suministro atribuido al Grupo Lazarus. RedPine: Con menor confianza, Alden afirma que RedPine probablemente sea una respuesta a TriangleDB de la Operación Triangulación. RoachFlight: Aún no identificado. SheepSwap: Aún no identificado. ShowBeagle: Aún no identificado. SnowDrift: Identificado como software espía CloudMensis macOS. ToyDrop: Aún no identificado. Trovi: similar a Pirrit, Trovi es otro secuestrador de navegador multiplataforma. Se sabe que redirige los resultados de búsqueda, rastrea el historial de navegación e inyecta sus propios anuncios en la búsqueda. WaterNet: Aún no identificado. ¿Cómo encuentro XProtect? XProtect está habilitado de forma predeterminada en todas las versiones de macOS. También se ejecuta a nivel del sistema, completamente en segundo plano, por lo que no es necesaria ninguna intervención. Las actualizaciones de XProtect también se realizan automáticamente. Aquí es donde se encuentra: En Macintosh HD, vaya a Biblioteca > Apple > Sistema > Biblioteca > CoreServices. Desde aquí, puede encontrar remediadores haciendo clic derecho en XProtect. Luego haga clic en Mostrar contenido del paquete. Expandir contenido. Abrir MacOS. Nota: los usuarios no deben confiar completamente en la suite XProtect de Apple, ya que está diseñada para detectar amenazas conocidas. Ataques más avanzados o sofisticados podrían fácilmente eludir la detección. Recomiendo encarecidamente el uso de herramientas de detección y eliminación de malware de terceros. Acerca de Security Bite: Security Bite es una columna semanal centrada en la seguridad en 9to5Mac. Cada semana, Arin Waichulis ofrece información sobre privacidad de datos, descubre vulnerabilidades y arroja luz sobre amenazas emergentes dentro del vasto ecosistema de Apple de más de 2 mil millones de dispositivos activos. Manténgase seguro, manténgase a salvo. Más en esta serie FTC: Utilizamos enlaces de afiliados automáticos para generar ingresos. Más.