AdLoad er en velkendt adware- og bundleware-læserfamilie, som siden har været målrettet mod macOS-brugere 2017, eller endnu tidligere. Truslen installerer en bagdør på systemet for at droppe adware og potentielt uønskede applikationer (tilfreds), og indsamler også oplysninger.
Desværre, sikkerhedsforskere har for nylig opdaget en ny kampagne, der distribuerer en udviklet variant af AdLoad. Data viser det i hvert fald 150 unikke prøver af adware kredser rundt på nettet i år, hvoraf nogle med succes omgår Apples malware-beskyttelse på enheden kendt som XProtect. "Nogle af disse prøver har været kendt for også at være blevet velsignet af Apples notariseringstjeneste,”Siger forskere fra SentinelOne.
Ifølge deres rapport, i år har set en anden iteration af den ondsindede adware, der fortsat påvirker Mac -brugere, der udelukkende er afhængige af Apples XProtect -mekanisme til opdagelse af malware. “Den gode nyhed for dem uden ekstra sikkerhedsbeskyttelse er, at den tidligere variant, vi rapporterede i 2019 opdages nu af XProtect, via regel 22d71e9. Den dårlige nyhed er, at den variant, der bruges i denne nye kampagne, ikke er opdaget af nogen af disse regler. ” SentinelOne tilføjer.
Hvad er anderledes i AdLoads 2021 variant?
Den seneste iteration anvender et andet mønster, der er afhængig af en filudvidelse (enten .system eller .service). Filudvidelsen afhænger af placeringen af den tabte persistensfil og eksekverbare. I de fleste tilfælde, begge udvidelser findes på den samme inficerede enhed, under forudsætning af, at brugeren gav privilegier til installatøren.
Bemærk, at Adload installerer en persistensagent med eller uden privilegier. Agenten lægges i brugerens Library LaunchAgents -mappe.
"Til dato, vi har fundet rundt 50 unikke etiketmønstre, hvor hver enkelt har både en .service og en .systemversion. Baseret på vores tidligere forståelse af AdLoad, vi forventer, at der kommer mange flere," siger forskerne.
Det er værd at nævne, at dropperne i den seneste AdLoad -bølge deler det samme mønster som Bundlore og Shlayer droppere. De bruger alle en falsk Player .app monteret i en DMG. Mange af dem er underskrevet med en gyldig signatur, og i nogle tilfælde, de er også blevet notariseret. Den endelige nyttelast af AdLoad er ikke kodesigneret og er ikke kendt af den nuværende version af Apples XProtect, v2149.
For et par år siden, sikkerhedsforskere stødte på en ny variant af den såkaldte Shlayer-malware, som har været rettet mod MacOS brugere. Shlayer er en flertrins malware, og 2019 version erhvervet privilegier eskalering muligheder. Den malware kan også deaktivere Gatekeeper til at køre unsigned andet trin nyttelast. Den Shlayer malware blev først opdaget i februar 2018 af Intego forskere.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: