XProtect Remediator: macOS busca malware siempre que tiene oportunidad

En los últimos seis meses, la protección contra malware de macOS ha cambiado más que en los siete años anteriores. Ahora se ha vuelto totalmente preventivo, tan activo como muchos productos antimalware comerciales, siempre que tu Mac esté ejecutando Catalina o posterior. Este artículo habla sobre la nueva herramienta de Apple en la guerra contra el malware, XProtect Remediator.

¿Qué es XProtect?

MRT es la herramienta de eliminación de malware que Apple tradicionalmente incluía en sus sistemas operativos de sobremesa, pero en Monterey 12.3, lanzado el 14 de marzo, Apple introdujo, silenciosamente, el sucesor de MRT, llamado XProtect, o para ser más específico XProtect Remediator.

Esta nueva XProtect.app está en el volumen de datos de la carpeta /Library/Apple/System/Library/CoreServices, que está vinculada para fusionarse con la carpeta correspondiente en el volumen del sistema en /System/Library/CoreServices. Cuando se instaló por primera vez en 12.3, lo hizo en forma de versión 1, y ya se ha convertido en la versión 2, actualizada como parte de macOS en lugar de como una actualización de datos de seguridad separada.

Lo inusual de esta aplicación es que contiene ocho ejecutables, el propio XProtect (que no existía anteriormente como aplicación discreta o binaria) y siete ejecutables de XProtect Remediator. Según sus nombres, uno es efectivamente la versión 3 de MRT, y los otros abordan el siguiente malware conocido:

  • Adload, un troyano endémico conocido por descargar adware y PUP no deseados, su actividad se resume aquí.
  • Eicar, una prueba estándar inofensiva para productos antimalware.
  • Genieo, un secuestrador de navegador que actúa como adware, resumido aquí.
  • Pirrit, adware malicioso explicado en detalle aquí.
  • SheepSwap, presumiblemente un sinónimo de malware para Mac;
  • Trovi, un secuestrador de navegador multiplataforma.

Cada uno de estos ejecutables parece haber sido escrito con Swift.

XProtect Remediator en la actualidad

Hasta que XProtect Remediator llegó a macOS 12.3 en marzo pasado, las herramientas del sistema para abordar el malware se limitaban esencialmente a XProtect y MRT. XProtect se utilizó principalmente para comprobar aplicaciones y otros códigos que tenían un indicador de cuarentena establecido, con una lista de firmas de malware conocido, y solo puede detectar.

Si bien Apple ha ampliado su alcance para comprobarlo con más frecuencia, y continúa actualizando esas firmas cada dos semanas, tienen sus límites. MRT ejecutó escaneos para detectar y eliminar (“remediar”) el malware conocido, notablemente poco después del inicio, pero con poca frecuencia.

Una mirada a través de las cadenas en XProtectRemediatorMRTv3 sugiere que, de hecho, replica gran parte o la funcionalidad actual en el ejecutable de MRT, lo que sugiere firmemente que será el reemplazo para MRT a su debido tiempo.

XProtect Remediator consiste en módulos de código ejecutable que escanean y corrigen el malware detectado. En la actualidad, estos incluyen lo siguiente:

  • Adload, un troyano endémico conocido por descargar adware y PUP no deseados, se resumen aquí;
  • DubRobber, un cuentagotas de troyanos preocupante y versátil también conocido como XCSSET;
  • Eicar, una prueba estándar inofensiva para productos antimalware;
  • Genieo, un secuestrador de navegador que actúa como adware, resumido aquí;
  • GreenAcre, un nombre interno de Apple;
  • MRTv3, refiriéndose al remediador de malware original de Apple;
  • Pirrit, adware malicioso explicado en detalle aquí;
  • SheepSwap, un nombre interno de Apple;
  • SnowBeagle, un nombre interno de Apple;
  • SnowDrift, identificado por Stuart Ashenbrenner de Jamf como CloudMensis, spyware identificado por primera vez por ESET;
  • ToyDrop, un nombre interno de Apple;
  • Trovi, un secuestrador de navegador multiplataforma.
  • WaterNet, un nombre interno de Apple.

Estos son orquestados por XProtectPluginService, un servicio XPC que se programa y envía utilizando el sistema DAS-CTS que hace lo mismo para la mayoría de las tareas periódicas en segundo plano.

Lo que es inusual con XProtect Remediator es que la tarea enviada pasa a elegir y ejecutar diferentes módulos de escaneo. Por lo tanto, la única forma práctica de descubrir qué tarea y cuándo se ha ejecutado es desde el log (archivo). Afortunadamente, eso es sencillo usando la siguiente fórmula en la búsqueda del registro
subsystem == "com.apple.XProtectFramework.PluginAPI"
que es el director de orquesta de los escaneos de XProtect Remediator.

Usar eso en un Mac que ejecuta Monterey 12.5.1 24/7 sin dormir revela la siguiente actividad de escaneo durante un día típico.

El escáner DubRobber (XCSSET) es, con mucho, el que se ejecuta con más frecuencia, realizando escaneos que duran 15-35 segundos cada hora o dos durante períodos de baja actividad del usuario. Otros escaneos observados incluyen los módulos para:

  • Cargar durante un período de 8 segundos, una vez al día más o menos;
  • Eicar durante menos de 0,01 segundos, dos veces;
  • Geneio durante 0,5 segundos, una vez;
  • GreenAcre durante 1,2 segundos, una vez;
  • MRTv3 durante 17 segundos, una vez;
  • Pirrit durante 0,5 segundos, una vez;
  • SheepSwap durante 5 segundos, una vez;
  • SnowBeagle durante 10 segundos, una vez;
  • SnowDrift (CloudMensis) durante 9 segundos, una vez;
  • ToyDrop durante 0,02 segundos, una vez;
  • Trovi en un grupo de tres breves escaneos de menos de 0,1 segundos cada uno;
  • WaterNet en un periodo sostenido, sin ninguna conclusión reportada.

Estos escaneos frecuentes de DubRobber presentan una serie estructurada de entradas de registro, comenzando con una comprobación de un protocolo de conexión XPC verificable. Después de eso, se carga una regla de Yara y se habilita la telemetría, que ya permanece durante el resto del escaneo.

Hay una serie de comprobaciones de firma de código estático, luego una serie de comprobaciones de ruta. El archivo y otras comprobaciones de Yara siguen, y al final hay un evento antes del informe de escaneo, que toma la forma
{"caused_by":[],"status_message":"NoThreatDetected","status_code":20,"execution_duration":15.570410966873169}
que parece autoexplicativo.

Estos escaneos ahora deberían llevarse a cabo en todos los Mac con macOS Catalina y versiones posteriores, con el XProtect Remediator actual instalado. Lo más probable es que tengan lugar cuando tu Mac está despierto, pero haciendo poco más que tareas en segundo plano, como copias de seguridad de rutina, y recibir correo electrónico entrante a medida que llega.

Para aquellos que ejecutan estas versiones recientes de macOS, esto representa un gran paso adelante. También disipa cualquier duda sobre si esta nueva protección contra malware ya ha entrado en funcionamiento: ya está viva y escaneando activamente.

Artículo escrito con información del muy recomendable sitio The Eclectic Light Company, que habla sobre Macs, Pintura y más. Cuando habla de Macs, lo hace a nivel avanzado, así que no es para los débiles de corazón.

Alf

Propietario de www.faq-mac.com.

0 0 votos
Article Rating
Subscribe
Notify of
0 Comments
Opiniones Inline
Ver todos los comentarios
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x