Per eseguire codice malevolo sui sistemi macOS i criminali informatici hanno spesso utilizzato il framework Mono in modo tale da eseguire applicazioni .NET sulla piattaforma Apple.
In questi giorni la società di Cupertino ha aggiornato XProtect in modo tale da riconoscere gli elementi Windows PE e gli eseguibili Windows in maniera ancora più efficace. Per proteggere gli utenti di macOS, XProtect fa uso delle firme di YARA, tool sviluppato appositamente per identificare le minacce progettate per prendere di mira i sistemi della Mela (ne fa ampio uso anche il servizio online VirusTotal: VirusTotal: guida all’uso del servizio per controllare l’identità dei file).
Secondo Patrick Wardle, due aggiornamenti appena introdotti in XProtect si rivelerebbero particolarmente efficaci nel riconoscere e nel bloccare eseguibili Windows caricabili su Mac.
A febbraio avevamo visto come un eseguibile Windows può essere usato per attaccare un sistema macOS: esso può superare le difese di Gatekeeper, il software Apple progettato per garantire che vengano caricati soltanto programmi affidabili.
Gli update di XProtect appena distribuiti mirano proprio a smascherare l’utilizzo di Mono, framework cross-platform che permette di eseguire codice C# su Windows, macOS e Linux, qualora lo si adoperasse per finalità malevole.
Di solito i malware per macOS che sfruttano Mono provvedono a scaricare automaticamente, una volta eseguiti, estensioni indesiderate, adware, miner e trojan in grado di sottrarre password e altri dati personali.