Sistema XProtect da Apple é atualizado frequentemente e já reconhece ameaças como Pirrit, Adload, DubRobber e mais. Entenda como ele funciona e o que ainda exige ferramentas externas.
Você sabia que o seu Mac tem um sistema de segurança embutido que detecta e remove diversos tipos de malware sem que você precise instalar nada? Trata-se do XProtect, a solução nativa da Apple para proteção contra ameaças conhecidas no macOS. Embora muitos usuários recorram a antivírus de terceiros, o XProtect já é capaz de detectar e eliminar diversos malwares sozinho, especialmente com as melhorias trazidas nas versões mais recentes do sistema.
Neste artigo, vamos mostrar quais malwares o macOS pode remover automaticamente, como o XProtect funciona nos bastidores e o que ainda exige atenção redobrada.
O que é o XProtect?
Introduzido em 2009 com o macOS X 10.6 Snow Leopard, o XProtect evoluiu muito desde então. Atualmente, ele é composto por três módulos principais:
- XProtect App: verifica arquivos e apps em tempo real usando regras YARA sempre que algo novo é instalado, atualizado ou executado.
- XProtectRemediator (XPR): realiza varreduras periódicas e silenciosas no sistema, removendo malwares detectados.
- XProtectBehaviorService (XBS): monitora comportamentos suspeitos em tempo real, focando em recursos críticos do sistema.
As atualizações do XProtect são automáticas e não exigem nenhuma ação do usuário.
Como o sistema detecta ameaças?
O macOS usa regras YARA, um padrão de mercado para identificação de malware, que compara padrões de comportamento, código ou metadados dos arquivos. A Apple nomeia suas regras de forma genérica (como XProtect_MACOS_2fc5997), mas especialistas em segurança, como Phil Stokes e Alden, mapeiam essas assinaturas para nomes mais conhecidos — como Pirrit, Bundlore e DubRobber.
Malware que o macOS pode remover automaticamente
De acordo com o site 9to5Mac, o XProtectRemediator v151 possui 24 módulos de detecção e remoção, sendo que 14 já foram identificados por pesquisadores. Veja alguns exemplos:
Malwares identificados
- Pirrit: adware que exibe pop-ups e coleta dados de navegação.
- Adload: distribuidor de adwares desde 2017, recentemente recebeu mais de 70 regras novas de detecção.
- DubRobber (XCSSET): trojan avançado que pode roubar dados e instalar outros malwares.
- Bundlore: instalador de softwares indesejados, normalmente empacotado com apps legítimos.
- Trovi: hijacker de navegador que altera resultados de busca.
- KeySteal: ladrão de senhas e dados sensíveis.
- Genieo: programa potencialmente indesejado muito documentado.
- SnowDrift (CloudMensis): spyware voltado para macOS.
- Crapyrator (macOS.Bkdr.Activator): ameaça que busca criar redes de bots em massa.
- ColdSnap (SimpleTea): trojan ligado ao grupo Lazarus e ao ataque 3CX.
- RankStank: relacionado ao ataque à 3CX, usado para identificar executáveis maliciosos.
- RedPine: possivelmente relacionado ao ataque avançado TriangleDB.
- CardboardCutout: impede que certos malwares sejam executados.
- Eicar: arquivo inofensivo usado para testar antivírus.
Ainda não identificados publicamente
Alguns módulos ainda estão sendo estudados pela comunidade de segurança: BadGacha, BlueTop, FloppyFlipper, GreenAcre, RoachFlight, SheepSwap, ShowBeagle, ToyDrop, WaterNet.
Onde encontrar o XProtect no seu Mac?
Você pode visualizar os arquivos do XProtect no seguinte caminho:
Macintosh HD > Library > Apple > System > Library > CoreServices > XProtect.bundle
Clique com o botão direito e selecione “Mostrar conteúdo do pacote” para ver os arquivos internos.
Vale a pena confiar apenas no XProtect?
Embora eficaz, o XProtect se concentra em ameaças conhecidas e pode não detectar ataques sofisticados ou novos. Por isso, especialistas recomendam complementar a proteção com soluções de segurança de terceiros, especialmente em ambientes corporativos.