macOS 信息窃取恶意软件快速演变以规避 XProtect 检测

关键要点

针对 macOS 系统的信息窃取恶意软件如 KeySteal、Atomic Stealer 和 CherryPie已更新以绕过 Apple 的 XProtect 反恶意软件系统。KeySteal 自 2021 年以来得到改进，能够持续存续并窃取 Keychain 数据，且能在不被检测的情况下工作。Atomic Stealer 的多个 C 变种也未能被 XProtect 检测，尽管 Apple 最近进行了更新。CherryPie 恶意软件具有反分析和禁用 Gatekeeper 的能力，但新版可能已被检测到。

根据 BleepingComputer 的报道，针对 macOS 系统的信息窃取恶意软件正在快速演变，包括 KeySteal、Atomic Stealer 和 CherryPie，这些恶意软件的开发者们已经进行了更新，以绕过 Apple 不断添加的内置 XProtect 反恶意软件系统。根据 SentinelOne 的报告，KeySteal 自 2021 年首次出现后，经过多次改进，不仅确保其持续存在性，还能够在不被 XProtect 和其他杀毒引擎检测的情况下窃取 Keychain 数据，尽管 Apple 在去年的二月份对其签名进行了更新。

白鲸加速器最新版下载安装恶意软件名称特征最后更新时间KeySteal持续存留，Keychain 数据窃取2023年2月Atomic Stealer多个 C 变种，未被检测2023年12月前CherryPie反分析及禁用 Gatekeeper 能力2023年上个月

研究人员指出，KeySteal 的操作人员还可能采用轮换机制，以解决与其硬编码的命令和控制地址相关的问题。此外，虽然 CherryPie 恶意软件在新版中具有反分析及禁用 Gatekeeper 的能力，但最新版本可能已经能够被检测到。这一系列的动态变化显示了恶意软件开发者们在规避安全检测方面的适应能力。