Byte de seguridad: detecta y elimina malware de tu Mac

9to5Mac Security Byte exclusivo para usted Mosyle, la única plataforma unificada de Apple. Lo que hacemos es hacer que los dispositivos Apple estén listos para funcionar y sean seguros para la empresa. Nuestro exclusivo enfoque integrado de gestión y seguridad combina soluciones de seguridad de última generación específicas de Apple para una gestión de privilegios exclusiva con protección y cumplimiento totalmente automatizados, EDR de próxima generación, Zero Trust impulsado por IA y el MDM de Apple más potente y moderno del mercado. El resultado es una Plataforma Unificada Apple totalmente automatizada en la que ahora confían más de 45.000 organizaciones para poner en funcionamiento los dispositivos Apple sin esfuerzo y a un costo asequible. Su solicitud de prueba extendida Hoy y por qué Mosyle entiende todo lo que necesita para trabajar con Apple.

Actualizado el 28 de noviembre de 2025

¿Alguna vez te has preguntado qué malware puede detectar y eliminar macOS sin la ayuda de software de terceros? Apple agrega constantemente nuevas reglas de detección de malware al paquete XProtect integrado en Mac. Aunque la mayoría de los nombres de reglas (firmas) son ambiguos, con algo de ingeniería inversa, los investigadores de seguridad pueden asignarlos a nombres comunes de la industria.

En esta edición actualizada de Security Byte de Acción de Gracias, revisito una historia en la que comencé a trabajar en mayo de 2024. Como Apple agrega constantemente nuevos módulos a su suite XProtect para combatir las últimas tendencias de malware, sospecho que esta columna continuará actualizándose con el tiempo. Esto es lo que tu Mac puede detectar y eliminar por sí solo:

Xprotect, yara manda, ¿eh?

XProtect se introdujo en 2009 como parte de macOS X 10.6 Snow Leopard. Inicialmente, se lanzó para detectar y alertar a los usuarios cuando se descubría malware en un archivo de instalación. Sin embargo, XProtect ha evolucionado significativamente recientemente. El retiro de la herramienta de eliminación de malware (MRT) de larga duración en abril de 2022 llevó a la introducción de XProtectRemediator (XPR), un componente antimalware nativo más capaz responsable de la detección y corrección de amenazas en Mac.

XProtect Suite utiliza la detección basada en firmas de Yara para detectar malware. los niños En sí mismo es una herramienta de código abierto ampliamente aceptada que detecta archivos (incluido malware) en función de ciertas características y patrones en el código o metadatos. Lo bueno de las reglas de Yara es que cualquier empresa o individuo puede crear y utilizar las suyas propias, incluida Apple.

A partir de macOS 15 Sequoia, la suite XProtect consta de tres componentes principales:

1. D Aplicación XProtect Yara puede detectar malware mediante reglas cada vez que una aplicación se inicia, cambia o actualiza su firma por primera vez.
2. XProtectRemediador (XPR) Es más proactivo y puede detectar y eliminar malware escaneando periódicamente con reglas de Yara, entre otras cosas. Estas ocurren en segundo plano durante períodos de baja actividad y tienen un impacto mínimo en la CPU.
3. La última versión de macOS incluye XProtectBehaviorService (XBS), que monitorea el comportamiento del sistema relacionado con los recursos críticos.

Desafortunadamente, Apple utiliza principalmente esquemas de nombres internos genéricos en XProtect que ocultan los nombres de malware comunes. Aunque esto se hace por una buena razón, resulta complicado para aquellos interesados ​​en saber exactamente qué malware puede detectar XProtect.

Por ejemplo, algunas reglas de Yara reciben nombres más explícitos, como XProtect_MACOS_PIRRIT_GEN, una firma para detectar el adware Pirrit. Sin embargo, en XProtect encontrará reglas más comunes como XProtect_MACOS_2fc5997 y firmas internas que sólo los ingenieros de Apple conocerán, como XProtect_snowdrift. Aquí es donde les gusta a los investigadores de seguridad Phil Stokes Y alden Adelante

Phil Stokes de Sentinel One Labs lleva a cabo un experimento sencillo Repositorio en GitHub que asigna estas firmas oscuras utilizadas por Apple a nombres más comunes utilizados por los proveedores y que se encuentran en escáneres de malware públicos como VirusTotal. También creado recientemente por Alden. Progreso significativo El módulo de escaneo de Yara extrae las reglas del binario para comprender cómo funciona XPR.

macOS puede eliminar el malware por sí solo

Si bien la aplicación XProtect en sí solo puede detectar y bloquear amenazas, todo depende de los módulos de escaneo de XPR para eliminarlas. Actualmente, podemos identificar 23 de 25 en la versión actual de XPR (v156) para mantener el malware fuera de su máquina. Casi todos los módulos utilizan el esquema de nombres interno de Apple y no notifican al usuario durante el escaneo o la reparación. Esto es lo que sabemos actualmente sobre cada uno:

1. Agregar carga: Los cargadores de adware y paquetes de software se dirigen a los usuarios de macOS desde 2017. AdLoad pudo evadir la detección antes de la última actualización importante de XProtect, que agregó 74 nuevas reglas de detección de Yara dirigidas al malware.
2. hierba: Aún oficialmente desconocido. Sin embargo, tiene fama de generar falsos positivos, a menudo con software no malicioso (por ejemplo, 1Password) que señala aplicaciones de utilidad benignas como amenazas potenciales., De acuerdo a La compañía de luz ecléctica.
3. Techo azul: “BlueTop parece ser una campaña de proxy troyano cubierta por Kaspersky a finales de 2023” alden dijo.
4. paquete: Un nuevo módulo, agregado en diciembre de 2024. El nombre de este módulo no es ambiguo. Bundlore es una familia de programas publicitarios comunes dirigidos a sistemas macOS. Muchos escáneres de malware de terceros pueden detectar paquetes y bloquearlos en tiempo real. Esta no es una amenaza significativa.
5. Recortes de cartón: Este módulo funciona un poco diferente a los demás. En lugar de buscar un tipo específico de malware, CardboardCutout funciona creando un “recorte” de malware con firmas conocidas y deteniéndolo antes de que tenga la oportunidad de ejecutarse en el sistema.
6. Ola de frío: “Es probable que ColdSnap esté buscando la versión macOS del malware SimpleTea. También se vinculó a la infracción de 3CX y comparte características con las variantes de Linux y Windows”. SimpleT (SimplexT en Linux) es un troyano de acceso remoto (RAT) que se cree que se originó en la RPDC.
7. Conductor: En realidad, no es un escáner de malware. El conductor parece ser un módulo de infraestructura que gestiona la programación y el estado de otros componentes de remediación para que funcionen correctamente.
8. Crapirator: Crapyrator se identifica como macOS.Bkdr.Activator. Se trata de una campaña de malware descubierta en febrero de 2024 que “infecta a los usuarios de macOS a gran escala, posiblemente con la intención de crear una botnet de macOS o distribuir otro malware a escala”, dijo Phil Stokes de Sentinel One.
9. Jueves: Un dropper troyano problemático y versátil, también conocido como XCSSET.
10. Ícar: a Archivo inocuo que está diseñado para activar escáneres antivirus sin ser intencionalmente malicioso.
11. disquetealeta: Aún no identificado.
12. talento: Un programa potencialmente no deseado (PUP) muy comúnmente documentado. Tanto es así que incluso tiene su propia página de Wikipedia.
13. Acres verdes: GreenAcre ha sido identificado como OSX.gimmick. Es un sofisticado software espía multiplataforma utilizado en ataques dirigidos que oculta su tráfico utilizando servicios de nube pública como Google Drive para comando y control.
14. Llave de acero: KeySteal es un ladrón de información de macOS observado inicialmente en 2021 y agregado a XProtect en febrero de 2023.
15. MRTv3: Es una colección de componentes de detección y eliminación de malware desarrollados a partir del predecesor de XProtect, Malware Removal Tool (MRT).
16. Pirita: Por alguna razón, tampoco es de incógnito. Pirrit es un adware para macOS lanzado por primera vez en 2016. Se sabe que inyecta anuncios emergentes en páginas web, recopila datos personales del navegador del usuario e incluso manipula las clasificaciones de búsqueda para redirigir a los usuarios a páginas maliciosas.
17. tanque de rango: “Esta regla es más específica, ya que incluye las rutas a los ejecutables maliciosos encontrados en el incidente 3CX”, dijo Alden. 3CX sufrió un ataque a la cadena de suministro atribuido al Grupo Lazarus.
18. Pino rojo: Con menos confianza, Alden dice que Redpine es probablemente una respuesta a TriangleDB de la Operación Triangulación, uno de los ataques de iPhone más sofisticados de todos los tiempos.
19. Vuelo de cucarachas: No está relacionado con las cucarachas voladoras y lamentablemente aún no ha sido identificado por los investigadores.
20. Intercambio de ovejas: Al igual que SheepSwap, este módulo está pensado para otras variantes del siempre cambiante paquete de software publicitario AdLoad. La compañía de luz ecléctica.
21. Showbeagle: Su objetivo es TraderTraitor, una campaña vinculada al grupo Lazarus de Corea del Norte que ataca a los intercambios de criptomonedas y a los usuarios de DeFi a través de aplicaciones comerciales troyanizadas.
22. Flujo de nieve: identificado como Nubemensis Software espía para MacOS.
23. Lanzamiento de juguetes: Al igual que SheepSwap, se cree que este módulo apunta a otras variantes del siempre cambiante adware AdLoad.
24. encontrar: Similar a Pirrit, encontrar Otro secuestrador de navegador multiplataforma. Se sabe que redirige los resultados de búsqueda, rastrea el historial de navegación e inyecta sus propios anuncios en las búsquedas.
25. Red de agua: Apodado Proxit, el troyano proxy escrito en el lenguaje de programación Go convierte las Mac infectadas en nodos proxy para enrutar el tráfico malicioso.

¡Gracias por leer! Si tiene sugerencias sobre algunos módulos que aún no se han detectado, déjelos en los comentarios o envíeme un correo electrónico a arin@9to5mac.com.

FOlvídate de: Twitter/x, LinkedIn, hilo