Vous vous êtes déjà demandé quel type de malware macOS peut détecter et éliminer sans avoir besoin de logiciels tiers ? Apple ajoute continuellement de nouvelles règles de détection de malware à XProtect, sa suite intégrée sur Mac. Bien que la plupart des noms de règles soient obscurcis, certains chercheurs en sécurité parviennent à les associer à leurs appellations courantes dans l’industrie.

XProtect : Évolution et Fonctionnement

XProtect a été introduit en 2009 avec macOS X 10.6 Snow Leopard. Initialement conçu pour alerter les utilisateurs lors de la découverte de malware dans des fichiers d’installation, XProtect a récemment beaucoup évolué. La retraite de l’outil de suppression de malware (MRT) en avril 2022 a ouvert la voie à XProtectRemediator (XPR), un composant anti-malware plus performant qui détecte et remédie aux menaces sur Mac.

Le système utilise la détection par règles Yara pour identifier les malwares. Yara est un outil open source largement adoptée qui identifie les fichiers en se basant sur des caractéristiques spécifiques et des motifs dans le code ou les métadonnées. Ce qui est intéressant avec les règles Yara, c’est que n’importe quelle organisation ou individu peut créer et utiliser les leurs, y compris Apple.

Composants de la suite XProtect

Avec la version 15 de macOS, la suite XProtect se compose de trois éléments principaux :

  • XProtect : Détecte les malwares grâce aux règles Yara lors du premier lancement d’une application, de modifications ou de mises à jour de ses signatures.
  • XProtectRemediator (XPR) : Plus proactif, il peut détecter et supprimer des malwares grâce à des analyses régulières, se déroulant en arrière-plan lors de périodes d’activité réduite pour un impact minimal sur le CPU.
  • XProtectBehaviorService (XBS) : Surveille le comportement du système en relation avec des ressources critiques.

Malheureusement, Apple utilise principalement des schémas de nommage internes génériques dans XProtect, rendant difficile l’identification des menaces exactes que la suite peut repérer. Des chercheurs en sécurité comme Phil Stokes et Alden contribuent à rétablir ces connexions et à identifier les malwares cibles.

Comment Localiser XProtect sur votre Mac

XProtect est activé par défaut dans chaque version de macOS et fonctionne au niveau système, en arrière-plan, sans intervention nécessaire. Les mises à jour se font également automatiquement :

  1. Dans Macintosh HD, accédez à Library > Apple > System > Library > CoreServices.
  2. Pour trouver un remédiateur, faites un clic droit sur XProtect.
  3. Cliquez sur Afficher le contenu du paquet.
  4. Développez les contenus.
  5. Ouvrez MacOS.

Il est important de ne pas se fier uniquement à XProtect, car il est conçu pour détecter des menaces connues. Des attaques plus sophistiquées pourraient facilement contourner cette protection. L’utilisation d’outils de détection et de suppression de malware tiers est recommandée.

Malwares pouvant être supprimés

Alors que l’application XProtect peut seulement détecter et bloquer les menaces, ce sont les modules de scan de XPR qui se chargent de la suppression. Actuellement, nous pouvons identifier 14 des 24 remédiateurs dans la version actuelle de XPR (v151) visant à éloigner les malwares de votre machine.

  • Adload : Charger l’adware et bundleware ciblant les utilisateurs macOS depuis 2017.
  • Crapyrator : Identifié comme macOS.Bkdr.Activator, un malware soumis à une vaste campagne depuis février 2024.
  • DubRobber : Un dropper Trojan versatile, aussi connu sous le nom de XCSSET.
  • Pirrit : Adware macOS connu pour injecter des publicités pop-up dans les pages web.

Pour une liste complète, d’autres modules tels que BadGacha, ColdSnap et SnowDrift, démontrent l’éventail des menaces de plus en plus ciblées que XProtect peut gérer. Merci de lire jusqu’à présent !

ARTICLES CONNEXESPLUS DE L'AUTEUR

Partager un commentaire