仅在 2021 年,涉及臭名昭著的 macOS 广告软体系列的新一波攻击已经发展到利用大约 150 个独特的样本,其中一些已经绕过了 Apple 的设备上恶意软体扫描程式,甚至由其自己的公证服务签名,突出了恶意软体不断尝试适应和逃避检测。
“AdLoad”,正如已知的恶意软体,是至少自 2017 年以来针对 macOS 的几种广泛使用的广告软体和搭售软体载入程式之一,它能够后门受影响的系统下载和安装广告软体或潜在有害程式 (PUP),以及收集和传输有关受害机器的资讯。
SentinelOne 威胁研究员 Phil Stokes在上周发布的一份分析报告中表示,新版本“继续影响仅依赖 Apple 内置安全控制 XProtect 进行恶意软体检测的 Mac 使用者” 。“然而,截至今天,XProtect 可以说有大约 11 个不同的 AdLoad 签名 [但是] 在这个新活动中使用的变体没有被任何这些规则检测到。”
2021 版 AdLoad 锁定使用不同档副档名模式(.system 或 .service)的持久性和可执行名称,使恶意软体能够绕过 Apple 整合的额外安全保护,最终导致安装持久性代理,反过来,这会触发攻击链以部署伪装成虚假 Player.app 的恶意投放器来安装恶意软体。
更重要的是,将滴管签署使用开发者证书具有有效的签名,促使苹果吊销证书“关于VirusTotal被观察的样本天(有时小时)的问题中,由这些特定的提供防止进一步感染,一些迟来的和临时的保护通过 Gatekeeper 和 OCSP 签名检查对样本进行签名,”Stokes 指出。
SentinelOne 表示,它在几个小时和几天内检测到用新证书签名的新样本,称其为“打地鼠游戏”。据说 AdLoad 的第一个样本最早于 2020 年 11 月出现,在 2021 年上半年定期出现,随后在整个 7 月,特别是 2021 年 8 月的前几周急剧上升。
AdLoad 与 Shlayer 一起属于恶意软体家族,众所周知,它可以绕过 XProtect 并使用其他恶意负载感染 Mac。2021 年 4 月,Apple 解决了其 Gatekeeper 服务 ( CVE-2021-30657 ) 中一个被积极利用的零日漏洞,Shlayer 运营商滥用该漏洞在 Mac 上部署未经批准的软体。
“macOS 上的恶意软体是设备制造商正在努力应对的一个问题,”斯托克斯说。“数百个知名广告软体变种的独特样本已经传播了至少 10 个月,但仍未被 Apple 的内置恶意软体扫描程式检测到,这一事实表明,有必要为 Mac 设备添加进一步的端点安全控制。”
Myasiacloud亚洲云海
网路安全防御专家
亚太高防资源 无上限防御DDos/CC攻击!!
全球优质节点 中国大陆全境加速 海外加速
详情访问 https://www.myasiacloud.com/clouddf
官方客服联络@myasiacloud66