Security Bite : Apple vient-il de déclarer la guerre au malware Adload ?

0
143

Après la sortie de nouvelles versions bêta la semaine dernière, Apple a sorti l’une des mises à jour les plus importantes de XProtect que j’ai jamais vues. L’outil de détection des logiciels malveillants macOS a ajouté 74 nouvelles règles de détection Yara, toutes destinées à une seule menace, Adload. Alors, de quoi s’agit-il exactement et pourquoi Apple considère-t-il cela comme un tel problème ?


9to5Mac Security Bite vous est présenté exclusivement par Mosyle, la seule plateforme unifiée Apple. Rendre les appareils Apple prêts au travail et sécurisés pour l’entreprise est tout ce que nous faisons. Notre approche intégrée unique en matière de gestion et de sécurité combine des solutions de sécurité de pointe spécifiques à Apple pour un renforcement et une conformité entièrement automatisés, un EDR de nouvelle génération, un Zero Trust basé sur l’IA et une gestion exclusive des privilèges avec le MDM Apple le plus puissant et le plus moderne. sur le marché. Le résultat est une plateforme unifiée Apple entièrement automatisée, actuellement utilisée par plus de 45 000 organisations pour rendre des millions d’appareils Apple prêts à fonctionner sans effort et à un coût abordable. Demandez votre ESSAI PROLONGÉ aujourd’hui et comprenez pourquoi Mosyle est tout ce dont vous avez besoin pour travailler avec Apple.


XProtect, c’est Yara qui règne, hein ?

XProtect a été introduit en 2009 dans le cadre de macOS X 10.6 Snow Leopard. Initialement, il a été publié pour détecter et alerter les utilisateurs si un logiciel malveillant était découvert dans un fichier d’installation. Cependant, XProtect a récemment considérablement évolué. Le retrait de l’outil de suppression de logiciels malveillants (MRT) de longue date en avril 2022 a entraîné l’émergence de XProtectRemediator (XPR), un composant anti-malware natif plus performant, responsable de la détection et de la correction des menaces sur Mac.

Depuis macOS 14 Sonoma, XProtect se compose de trois composants principaux :

  1. Le XProtect l’application elle-même, qui peut détecter les logiciels malveillants à l’aide des règles Yara chaque fois qu’une application est lancée, modifie ou met à jour ses signatures pour la première fois.
  2. XProtectRemédiateur est plus proactif et peut à la fois détecter et supprimer les logiciels malveillants avec des analyses Yara régulières. Celles-ci se produisent en arrière-plan pendant les périodes de faible activité et ont un impact minimal sur le processeur.
  3. XProtectBehaviorService (XBS) a été ajouté avec la dernière version de macOS et surveille le comportement du système par rapport aux ressources critiques.

La suite XProtect utilise la détection basée sur les signatures Yara pour identifier les logiciels malveillants. Yara lui-même est un outil open source largement adopté qui identifie les fichiers (y compris les logiciels malveillants) en fonction de caractéristiques et de modèles spécifiques dans le code ou les métadonnées. Ce qui est génial avec les règles Yara, c’est que n’importe quelle organisation ou individu peut créer et utiliser les siennes, y compris Apple.

La société utilise principalement des schémas de dénomination génériques ou internes dans XProtect qui masquent les véritables noms des logiciels malveillants. Cela rend leur identification un peu délicate. Merci, Apple (soupir). Certaines règles reçoivent des noms significatifs, comme XProtect_MACOS_PIRRIT_GEN, une signature permettant de détecter le logiciel publicitaire Pirrit. Cependant, il existe également des règles plus génériques comme XProtect_MACOS_2fc5997 ou internes comme XProtect_snowdrift.

Phil Stokes avec Sentinal One Labs gère un outil pratique dépôt sur GitHub qui mappe ces noms de familles de logiciels malveillants obscurcis aux noms courants du secteur. Je recommande fortement d’y jeter un œil.

Adload Wars : Apple contre-attaque

Avec XProtect v2192, il semble qu’Apple puisse désormais détecter toute la base de code d’Adload et toutes les souches existantes du chargeur de logiciels publicitaires et de bundles autrefois répandu ciblant les utilisateurs de macOS depuis 2017. Pour tous ceux qui suivent cette saga, cela était attendu depuis longtemps.

Une fois qu’Adload infiltre un Mac (c’est-à-dire en trompant un utilisateur avec un logiciel légitime), il détourne les résultats des moteurs de recherche, injectant ses propres publicités et recommandant aux utilisateurs de visiter des sites susceptibles de payer des frais aux acteurs malveillants. Ceci s’ajoute à toutes les informations privées qu’il peut collecter.

De plus, la famille de logiciels malveillants a récemment réussi à échapper à la détection par Gatekeeper et XProtect, et s’est avérée « signée » avec un certificat de développeur Apple, ainsi que « notariée », et jusqu’à la semaine dernière, de nombreuses souches ne correspondaient pas à la famille de logiciels malveillants. profils de logiciels malveillants dans la base de données de XProtect. Cela a sans doute été un véritable casse-tête pour les équipes de sécurité d’Apple, qui j’imagine ont mis en ligne les 74 nouvelles règles avec une grande jubilation.

Plus que tout, il s’agit d’une énorme victoire pour les utilisateurs Mac quotidiens qui fonctionnent sans aucun logiciel tiers de détection et de suppression de logiciels malveillants.

Par défaut, XProtect se met à jour automatiquement. La mise à jour vers la dernière version de macOS Sonoma n’est pas nécessaire, mais elle est tout de même fortement recommandée !

Plus dans cette série

Suivre Arin: Twitter/X, LinkedIn, Sujets

FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.


Marion Legrand
Marion a été éditeur en chef pour SOON. elle a précédemment créé des stratégies de marketing de contenu et des textes convaincants pour diverses entreprises de technologie et de commerce électronique. Elle a cofondé deux jeux de rôle fantastiques en direct qui ont offert des expériences immersives et interactives pendant près de 10 ans.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici