AdLoad est une famille de chargeurs de logiciels publicitaires et de bundles bien connue qui cible les utilisateurs de macOS depuis 2017, ou encore plus tôt. La menace installe une porte dérobée sur le système pour supprimer les logiciels publicitaires et les applications potentiellement indésirables (satisfait), et recueille également des informations.
Malheureusement, les chercheurs en sécurité ont récemment détecté une nouvelle campagne distribuant une variante évoluée de Adload. Les données montrent qu'au moins 150 des échantillons uniques du logiciel publicitaire circulent sur le Web cette année, dont certains contournent avec succès la protection contre les logiciels malveillants sur l'appareil d'Apple connue sous le nom de XProtect. "Certains de ces échantillons sont connus pour avoir également été bénis par le service de notarisation d'Apple,» déclarent les chercheurs de SentinelOne.
Selon leur rapport, cette année a vu une autre itération du logiciel publicitaire malveillant qui continue d'avoir un impact sur les utilisateurs de Mac qui s'appuient uniquement sur le mécanisme XProtect d'Apple pour la détection des logiciels malveillants. « La bonne nouvelle pour ceux qui n'ont pas de protection de sécurité supplémentaire est que la variante précédente que nous avons signalée dans 2019 est maintenant détecté par XProtect, via la règle 22d71e9. La mauvaise nouvelle est que la variante utilisée dans cette nouvelle campagne n'est détectée par aucune de ces règles. SentinelOne ajoute.
Ce qui est différent dans AdLoad 2021 une variante?
La dernière itération déploie un modèle différent reposant sur une extension de fichier (soit .system soit .service). L'extension de fichier dépend de l'emplacement du fichier de persistance déposé et de l'exécutable. Dans la plupart des cas, les deux extensions se trouvent sur le même appareil infecté, à condition que l'utilisateur ait donné des privilèges à l'installateur.
Notez qu'Adload installera un agent de persistance avec ou sans privilèges. L'agent est déposé dans le dossier Library LaunchAgents de l'utilisateur.
"À ce jour, nous avons trouvé autour 50 modèles d'étiquettes uniques, chacun ayant à la fois une version .service et une version .system. Sur la base de notre compréhension antérieure d'AdLoad, nous nous attendons à ce qu'il y en ait beaucoup plus," les chercheurs disent.
Il convient de mentionner que les compte-gouttes de la dernière vague AdLoad partagent le même modèle que Bundlore et compte-gouttes Shlayer. Ils utilisent tous un faux Player .app monté dans un DMG. Beaucoup d'entre eux sont signés avec une signature valide, et dans certains cas, ils ont également été notariés. La charge utile finale d'AdLoad n'est pas cosignée et n'est pas connue de la version actuelle de XProtect d'Apple, v2149.
Il y a quelques années, les chercheurs en sécurité sont tombés sur une nouvelle variante de la soi-disant Logiciel malveillant Shlayer, qui a pris pour cible les utilisateurs macos. Shlayer est un des logiciels malveillants à plusieurs étages, et l' 2019 version acquise capacités d'élévation des privilèges. Le logiciel malveillant peut également désactiver Gatekeeper pour exécuter des charges utiles de second étage non signés. Le logiciel malveillant a été découvert Shlayer en Février 2018 par des chercheurs Intego.