AdLoad è una nota famiglia di caricatori di adware e bundleware che da allora prende di mira gli utenti macOS 2017, o anche prima. La minaccia installa una backdoor sul sistema per eliminare adware e applicazioni potenzialmente indesiderate (soddisfatto), e raccoglie anche informazioni.
Sfortunatamente, i ricercatori della sicurezza hanno recentemente rilevato una nuova campagna che distribuisce una variante evoluta di Adload. I dati mostrano che almeno 150 campioni unici dell'adware stanno circolando sul web quest'anno, alcuni dei quali aggirano con successo la protezione antimalware sul dispositivo di Apple nota come XProtect. "Alcuni di questi campioni sono stati conosciuti per essere stati benedetti anche dal servizio di notarizzazione di Apple,” affermano i ricercatori di SentinelOne.
Secondo il loro rapporto, quest'anno ha visto un'altra iterazione dell'adware dannoso che continua a colpire gli utenti Mac che si affidano esclusivamente al meccanismo XProtect di Apple per il rilevamento del malware. "La buona notizia per coloro che non hanno una protezione di sicurezza aggiuntiva è che la variante precedente che abbiamo riportato in 2019 viene ora rilevato da XProtect, tramite la regola 22d71e9. La cattiva notizia è che la variante utilizzata in questa nuova campagna non viene rilevata da nessuna di queste regole". SentinelOne aggiunge.
Cosa c'è di diverso in AdLoad? 2021 variante?
L'ultima iterazione distribuisce un modello diverso basandosi su un'estensione di file (o .system o .service). L'estensione del file dipende dalla posizione del file di persistenza rilasciato e dell'eseguibile. Nella maggior parte dei casi, entrambe le estensioni si trovano sullo stesso dispositivo infetto, a condizione che l'utente abbia dato i privilegi all'installatore.
Nota che Adload installerà un agente di persistenza con o senza privilegi. L'agente viene trascinato nella cartella LaunchAgents della libreria dell'utente.
"Ad oggi, abbiamo trovato in giro 50 modelli di etichette unici, con ognuno che ha sia una versione .service che una versione .system. Sulla base della nostra precedente comprensione di AdLoad, ci aspettiamo che ce ne siano molti di più," i ricercatori dicono.
Vale la pena ricordare che i contagocce nell'ultima ondata di AdLoad condividono lo stesso schema di Bundlore e contagocce Shlayer. Tutti utilizzano un falso Player .app montato in un DMG. Molti di loro sono firmati con una firma valida, e in alcuni casi, sono stati anche autenticati. Il payload finale di AdLoad non è progettato in codice e non è noto alla versione corrente di XProtect di Apple, v2149.
Un paio d'anni fa, i ricercatori della sicurezza si sono imbattuti in una nuova variante del cosiddetto Malware Shlayer, che ha preso di mira gli utenti MacOS. Shlayer è un malware multistadio, e la 2019 capacità di escalation dei privilegi dalla versione acquisita. Il malware può anche disattivare gatekeeper per eseguire senza segno carichi di secondo stadio. Il malware Shlayer è stato scoperto nel mese di febbraio 2018 dai ricercatori Intego.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: