Avez-vous déjà pensé à quels malwares macOS peut détecter et supprimer sans l’aide de logiciels tiers ? Apple met continuellement à jour les règles de détection de malwares dans la suite intégrée XProtect de Mac. Bien que la plupart des noms de règles (signatures) soient obscurcis, des chercheurs en sécurité parviennent à les faire correspondre à des noms plus connus de l’industrie grâce à un peu d’ingénierie inverse.
XProtect, c’est quoi ?
Introduit en 2009 dans macOS X 10.6 Snow Leopard, XProtect a été initialement conçu pour alerter les utilisateurs en cas de détection de malware dans des fichiers d’installation. Cependant, sa fonction a évolué avec le temps. En avril 2022, la retraite de l’outil de suppression de malware (MRT) a permis l’émergence de XProtectRemediator (XPR), un composant anti-malware natif plus performant, chargé non seulement de détecter mais aussi de supprimer les menaces sur Mac.
Comment XProtect détecte-t-il les malwares ?
La suite XProtect utilise la détection basée sur les règles Yara pour identifier les malwares. Yara est un outil open-source largement adopté qui identifie les fichiers (y compris les malwares) sur la base de caractéristiques et de motifs spécifiques dans le code ou les métadonnées. Ce qui est intéressant avec les règles Yara, c’est qu’elles peuvent être créées et utilisées par toute organisation ou individu, y compris Apple.
Avec macOS 15 Sequoia, la suite XProtect se compose de trois composants principaux :
- XProtect App : détecte les malwares à l’aide des règles Yara lors du premier lancement d’une application, de son changement ou de la mise à jour de ses signatures.
- XProtectRemediator (XPR) : plus proactif, il peut détecter et supprimer les malwares en effectuant des analyses régulières avec des règles Yara en arrière-plan, sans perturber les performances du système.
- XProtectBehaviorService (XBS) : surveille le comportement du système en relation avec des ressources critiques.
Les malwares que macOS peut supprimer par lui-même
Actuellement, nous identifions 23 des 25 modules de suppression présents dans la version actuelle d’XPR. Bien que l’application XProtect puisse uniquement détecter et bloquer les menaces, c’est grâce aux modules de XPR que la suppression est possible. Voici quelques-uns des malwares détectés :
- Adload : un loader d’adware présent sur macOS depuis 2017.
- BadGacha : encore non identifié, il est connu pour déclencher des faux positifs.
- Bundlore : un nouveau module identifié, ciblant les systèmes macOS.
- Pirrit : un adware connu pour injecter des publicités intempestives.
- WaterNet : identifié comme un trojan proxy écrivant en Go, transformant les Macs infectés en nœuds proxy.
La suite XProtect est activée par défaut sur toutes les versions de macOS, et les mises à jour se font automatiquement en arrière-plan, sans nécessiter d’intervention de l’utilisateur. Toutefois, il est important de noter que les utilisateurs ne devraient pas se fier uniquement à XProtect, car il est conçu pour détecter les menaces connues. Pour une protection optimale, il est recommandé d’installer des outils de détection et de suppression de malwares tiers.
