Vous êtes-vous déjà demandé quels malwares macOS pouvait détecter et supprimer sans l’aide de logiciels tiers ? Apple met continuellement à jour les règles de détection de malwares dans la suite XProtect intégrée à macOS. Bien que la plupart des noms de règles (signatures) soient obscurcis, certains chercheurs en sécurité parviennent à les remapper à leurs noms communs dans l’industrie grâce à de l’ingénierie inverse.
Dans cette édition de Sécurité Bite, je fais écho à un sujet sur lequel je travaille depuis mai 2024. Étant donné qu’Apple enrichit régulièrement sa suite XProtect pour contrer les dernières tendances en matière de malwares, je prévois que cette colonne sera mise à jour au fil du temps. Voici un aperçu des malwares que votre Mac peut détecter et supprimer de lui-même :
XProtect, les règles YARA, qu’est-ce que c’est ?
XProtect a été introduit en 2009 avec macOS X 10.6 Snow Leopard. À l’origine, il alertait les utilisateurs en cas de détection d’un malware lors de l’installation d’un fichier. Cependant, XProtect a considérablement évolué. La retraite de l’ancien Malware Removal Tool (MRT) en avril 2022 a conduit à l’émergence de XProtectRemediator (XPR), un composant anti-malware natif plus performant capable de détecter et de remédier aux menaces sur Mac.
La suite XProtect utilise la détection basée sur les signatures YARA pour identifier les malwares. YARA est un outil open-source largement adopté qui permet d’identifier des fichiers (y compris des malwares) basés sur des caractéristiques spécifiques et des motifs présents dans le code ou les métadonnées. Ce qui est remarquable avec les règles YARA, c’est que toute organisation ou individu peut créer et utiliser les leurs, y compris Apple.
Avec macOS 15 Sequoia, la suite XProtect se compose de trois principales composantes :
- L’application XProtect peut détecter des malwares en utilisant des règles YARA dès qu’une application est lancée, modifiée ou mise à jour.
- XProtectRemediator (XPR) est plus proactif et peut détecter et supprimer des malwares grâce à des analyses régulières en arrière-plan, avec un impact minimal sur le CPU.
- La dernière version de macOS inclut le XProtectBehaviorService (XBS), qui surveille le comportement du système en relation avec des ressources critiques.
Malheureusement, Apple utilise principalement des schémas de nommage internes dans XProtect qui obfusquent les noms communs des malwares. Bien que cela soit fait pour une bonne raison, cela complique la tâche de ceux qui souhaitent savoir exactement quels malwares XProtect peut identifier.
Par exemple, certaines règles YARA ont des noms plus évidents, comme XProtect_MACOS_PIRRIT_GEN, une signature pour détecter le malware adware Pirrit. Cependant, vous trouverez dans XProtect des règles plus génériques telles que XProtect_MACOS_2fc5997 qui ne sont connues que des ingénieurs d’Apple. C’est là que des chercheurs en sécurité comme Phil Stokes et Alden entrent en jeu.
Phil Stokes de Sentinel One Labs gère un dépôt pratique sur GitHub qui associe ces signatures obscurcies aux noms plus courants utilisés par les fournisseurs et trouvés dans des scanners de malwares publics. De plus, Alden a récemment fait des avancées significatives dans la compréhension du fonctionnement de XPR en extrayant les règles YARA de ses binaires de module de scan.
Comment trouver XProtect sur mon Mac ?
XProtect est activé par défaut dans chaque version de macOS. Il fonctionne également au niveau système, en arrière-plan, sans nécessiter d’intervention. Les mises à jour de XProtect se font également automatiquement. Voici où le trouver :
- Dans Macintosh HD, allez dans Library > Apple > System > Library > CoreServices
- Ici, vous pouvez trouver les remédiations en faisant un clic droit sur XProtect
- Ensuite, cliquez sur Afficher le contenu du paquet
- Élargissez Contents
- Ouvrez MacOS
Notez que les utilisateurs ne doivent pas compter uniquement sur la suite XProtect d’Apple, car elle est conçue pour détecter les menaces connues. Des attaques plus avancées ou sophistiquées pourraient facilement contourner cette détection. Je recommande vivement d’utiliser des outils de détection et de suppression de malwares tiers.
Quels malwares peut-il supprimer ?
Tandis que l’application XProtect ne peut que détecter et bloquer les menaces, il revient aux modules de scan de XPR de gérer la suppression. À l’heure actuelle, nous pouvons identifier 14 des 24 remédiations de la version actuelle de XPR (v151) qui aident à maintenir le malware à distance de votre machine.
- Adload : Un chargeur d’adware et de bundleware ciblant les utilisateurs macOS depuis 2017.
- BadGacha : Non identifié pour le moment.
- BlueTop : Un Trojan-Proxy qui a été couvert par Kaspersky fin 2023.
- Bundlore : Un nouveau module ajouté en décembre 2024, il s’agit d’une famille de chargeurs d’adware.
- CardboardCutout : Ce module fonctionne différemment, agissant en créant un « découpage » de malwares connus pour les stopper avant leur exécution.
- ColdSnap : Cherche la version macOS de SimpleTea, un Remote Access Trojan (RAT) lié à la Corée du Nord.
- Crapyrator : Identifié en tant que macOS.Bkdr.Activator, ce malware a été découvert en février 2024.
- DubRobber : Un Trojan dropper polyvalent aussi connu sous le nom de XCSSET.
- Eicar : Un fichier inoffensif conçu pour déclencher les scanners antivirus sans être nuisible.
- Genieo : Un programme potentiellement indésirable très documenté.
- KeySteal : Un infostealer macOS observé pour la première fois en 2021.
- Pirrit : Un adware sur macOS connu pour injecter des publicités intrusives dans les navigateurs.
- RankStank : Impliqué dans l’incident 3CX.
- SnowDrift : Identifié comme le spyware CloudMensis.
Merci d’avoir lu ! Si vous avez des informations sur certains des modules non identifiés, n’hésitez pas à les partager dans les commentaires.
