AdLoad ist eine bekannte Adware- und Bundleware-Loader-Familie, die seither auf macOS-Benutzer ausgerichtet ist 2017, oder sogar noch früher. Die Bedrohung installiert eine Hintertür auf dem System, um Adware und potenziell unerwünschte Anwendungen zu löschen (zufrieden), und sammelt auch Informationen.
Leider, Sicherheitsforscher haben kürzlich eine neue Kampagne entdeckt, die eine weiterentwickelte Variante von . verbreitet Adload. Die Daten zeigen, dass zumindest 150 einzigartige Beispiele der Adware kursieren dieses Jahr im Web, Einige von ihnen umgehen erfolgreich Apples Malware-Schutz auf dem Gerät, bekannt als XProtect. "Einige dieser Proben wurden bekanntermaßen auch von Apples Beglaubigungsdienst gesegnet.",“ sagen SentinelOne-Forscher.
Laut ihrem Bericht, in diesem Jahr gab es eine weitere Iteration der bösartigen Adware, die sich weiterhin auf Mac-Benutzer auswirkt, die sich ausschließlich auf den XProtect-Mechanismus von Apple zur Malware-Erkennung verlassen. „Die gute Nachricht für diejenigen ohne zusätzlichen Sicherheitsschutz ist, dass wir über die vorherige Variante berichtet haben 2019 wird jetzt von XProtect erkannt, über Regel 22d71e9. Die schlechte Nachricht ist, dass die in dieser neuen Kampagne verwendete Variante von keiner dieser Regeln erkannt wird.“ SentinelOne fügt hinzu.
Was ist anders in AdLoads 2021 Variante?
Die neueste Iteration stellt ein anderes Muster bereit, das auf einer Dateierweiterung basiert (entweder .system oder .service). Die Dateierweiterung hängt vom Speicherort der abgelegten Persistenzdatei und der ausführbaren Datei ab. Meistens, beide Erweiterungen werden auf demselben infizierten Gerät gefunden, unter der Bedingung, dass der Benutzer dem Installer Berechtigungen erteilt hat.
Beachten Sie, dass Adload einen Persistenz-Agent mit oder ohne Berechtigungen installiert. Der Agent wird im Ordner Library LaunchAgents des Benutzers abgelegt.
"Miteinander ausgehen, wir haben herumgefunden 50 einzigartige Etikettenmuster, wobei jeder sowohl eine .service- als auch eine .system-Version hat. Basierend auf unserem bisherigen Verständnis von AdLoad, Wir erwarten, dass es noch viele mehr werden," sagen die Forscher.
Es ist erwähnenswert, dass die Dropper in der neuesten AdLoad-Welle das gleiche Muster aufweisen wie Bundlore und Shlayer-Tropfer. Sie alle verwenden eine gefälschte Player .app, die in einem DMG montiert ist. Viele von ihnen sind mit einer gültigen Unterschrift unterschrieben, und in einigen Fällen, sie sind auch notariell beglaubigt. Die endgültige Nutzlast von AdLoad wurde nicht mitentwickelt und ist der aktuellen Version von Apples XProtect nicht bekannt, v2149.
Vor ein paar Jahren, Sicherheitsforscher stießen auf eine neue Variante des sogenannten Shlayer-Malware, welche wurde Targeting macOS Benutzer. Shlayer ist ein mehrstufiger Malware, und die 2019 Version erworbene Privilegien-Eskalationsfunktionen. Die Malware kann auch Torwächter deaktivieren unsigned zweite Stufe Nutzlasten laufen. Die Shlayer Malware wurde zum ersten Mal im Februar entdeckt 2018 von Intego Forscher.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: