Lectura oscura | Seguridad | Proteja el negocio



Era sólo cuestión de tiempo. Las Apple Mac están ganando popularidad en la empresa, al igual que la cantidad de variantes de malware dirigidas a macOS. Pero la tan esperada llegada del nuevo sistema en un chip de Apple, el M1, ha generado una nueva generación de malware específico de macOS que las herramientas antimalware, los cazadores de amenazas y los investigadores deben aprender rápidamente a detectar y, en última instancia, a frustrar.

La mayoría de los programas maliciosos de macO se han adaptado tradicionalmente a las variantes de programas maliciosos de Home windows. Pero el giro de la pandemia hacia el trabajo desde casa envió más Mac a la empresa a medida que los empleados instalaban oficinas en el hogar (algunas con dispositivos Mac domésticos), lo que las convierte en un objetivo más lucrativo para los atacantes que persiguen negocios.

El experto en seguridad de Mac Patrick Wardle ya ha visto un número creciente de variantes de malware escritas específicamente para la plataforma M1, el nuevo microprocesador basado en ARM64 de Apple. M1 cuenta con procesamiento, gráficos más rápidos y eficientes, mayor duración de la batería y ahora se está ejecutando en su nueva generación de Mac y iPad Professional. También viene con algunas características de seguridad integradas nuevas, incluida una que ayuda a proteger la máquina de la explotación remota, así como protección de acceso físico.

Aun así, Wardle descubrió que el nuevo malware de macO puede pasar desapercibido por muchas herramientas anti-malware. El demostrara el próximo mes en una charla en Black Hat Usa en Las Vegas algunas técnicas para que los cazadores de amenazas y los investigadores detecten estas nuevas variantes de malware, incluida la comprensión del código M1 nativo y el código de ingeniería inversa escrito para el procesador.

«No es de extrañar» que llegue malware dirigido a los sistemas M1 de Apple, dice Wardle, fundador de Aim-See, cuya carrera incluye períodos en la Agencia de Seguridad Nacional y la NASA. «A medida que los atacantes evolucionan y cambian sus formas, nosotros, como analistas de malware e investigadores de seguridad, también debemos estar al tanto de eso».

Wardle compartirá lo que aprendió de la ingeniería inversa y el estudio de muestras de malware específicas de M1: «Cómo podemos buscarlo y proteger los sistemas de él, y cómo podemos realizar ingeniería inversa y analizarlo», dice.

Un informe reciente de Malwarebytes muestra que las detecciones de malware de Windows caen un 24% entre los usuarios comerciales, mientras que aumentan un 31% para los usuarios comerciales de Mac.

Aproximadamente la mitad de todo el malware de macOS en 2020 fueron variantes que comenzaron en Windows o Linux y se habían trasladado a macOS, incluido el código de ataque y el adware de los estados nacionales, la amenaza de Mac más generalizada hasta la fecha, señala Wardle.

Wardle descubrió en su investigación que cuando dividió los binarios para el malware macOS, uno creado para la plataforma Mac basada en Intel y el otro para la plataforma basada en M1, los sistemas anti-malware detectaron con más éxito el malware dirigido a la plataforma Intel que el malware macOS dirigido a la plataforma M1, aunque los binarios son «lógicamente los mismos», dice. Hubo una caída del 10% en su tasa de detección del malware M1.

Esa es una señal de que las firmas de antivirus existentes tienden a crearse solo para la variante Intel del malware macOS, no para la variante M1, señala. En cambio, las detecciones también deben combinarse con la tecnología basada en el comportamiento, ya que el análisis estático por sí solo puede fallar.

Para los analistas de malware y los cazadores de amenazas, se trata de perfeccionar sus habilidades con el nuevo silicio de Apple, dice.

«Quiero capacitar a los analistas de Mac, los equipos rojos y cualquier persona en ciberseguridad», dice, con habilidades de ingeniería inversa y comprensión del conjunto de instrucciones ARM64.

También es importante, dice Wardle, comprender que «el sistema M1 en realidad mejora significativamente la seguridad a nivel de hardware, pero es transparente para el usuario cotidiano», dice Wardle. Y integrar funciones de seguridad en el hardware es «el mejor lugar», dice.

Aun así, existe una curva de aprendizaje para detectar, analizar y bloquear el nuevo malware dirigido a M1, así como las variantes reutilizadas que existen.

«Solo asegúrese de que su postura de seguridad tenga la paridad entre Home windows y macOS. MacOS es igualmente vulnerable en el mismo campo: no asuma que las Mac son más seguras», advierte.



Enlace a la noticia original