Huis > Cyber ​​Nieuws > 150 Nieuwe unieke voorbeelden van AdLoad macOS-adware gedetecteerd in het wild
CYBER NEWS

150 Nieuwe unieke voorbeelden van AdLoad macOS-adware gedetecteerd in het wild

macos-adload-sensorstechforumAdLoad is een bekende familie van adware- en bundleware-laders die zich sindsdien op macOS-gebruikers richt 2017, of zelfs eerder. De dreiging installeert een achterdeur op het systeem om adware en mogelijk ongewenste applicaties te verwijderen (tevreden), en verzamelt ook informatie.

Helaas, beveiligingsonderzoekers hebben onlangs een nieuwe campagne ontdekt die een geëvolueerde variant van Adload. Uit gegevens blijkt dat tenminste 150 unieke voorbeelden van de adware circuleren dit jaar op internet, waarvan sommige met succes de malwarebescherming van Apple op het apparaat omzeilen, bekend als XProtect. "Van sommige van deze voorbeelden is bekend dat ze ook gezegend zijn door de notariële dienst van Apple,” zeggen SentinelOne-onderzoekers.




Volgens hun rapport, dit jaar was er een nieuwe versie van de kwaadaardige adware die Mac-gebruikers blijft beïnvloeden die uitsluitend vertrouwen op het XProtect-mechanisme van Apple voor malwaredetectie. “Het goede nieuws voor mensen zonder extra beveiligingsbescherming is dat de vorige variant waarover we rapporteerden 2019 wordt nu gedetecteerd door XProtect, via regel 22d71e9. Het slechte nieuws is dat de variant die in deze nieuwe campagne wordt gebruikt, door geen van die regels wordt opgemerkt.” SentinelOne voegt toe:.

Wat is er anders in AdLoad's 2021 variant?

De nieuwste iteratie implementeert een ander patroon op basis van een bestandsextensie (ofwel .systeem of .service). De bestandsextensie is afhankelijk van de locatie van het verwijderde persistentiebestand en het uitvoerbare bestand. Meestal, beide extensies zijn te vinden op hetzelfde geïnfecteerde apparaat, onder de voorwaarde dat de gebruiker privileges heeft gegeven aan het installatieprogramma.

Merk op dat Adload een persistentie-agent zal installeren met of zonder privileges. De agent wordt in de map Library LaunchAgents van de gebruiker geplaatst.

"Tot op heden, we hebben gevonden rond 50 unieke labelpatronen, waarbij elk zowel een .service- als een .system-versie heeft. Gebaseerd op ons eerdere begrip van AdLoad, we verwachten dat er nog veel meer zullen zijn," zeggen de onderzoekers.

Het is vermeldenswaard dat de droppers in de nieuwste AdLoad-golf hetzelfde patroon delen als Bundlore en Shlayer-druppelaars. Ze gebruiken allemaal een nep Player .app gemonteerd in een DMG. Velen van hen zijn ondertekend met een geldige handtekening, en in sommige gevallen, ze zijn ook notarieel bekrachtigd. De uiteindelijke payload van AdLoad is niet mede ontworpen en is niet bekend bij de huidige versie van XProtect van Apple, v2149.

Een paar jaar geleden, beveiligingsonderzoekers stuitten op een nieuwe variant van de zogenaamde Shlayer-malware, die is gericht op MacOS. Shlayer is een multi-stage malware, en 2019 versie verworven bevoegdheden escalatie mogelijkheden. De malware kan ook Gatekeeper uitschakelen om unsigned tweede fase payloads draaien. De Shlayer malware werd voor het eerst ontdekt in februari 2018 door Intego onderzoekers.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens