AdLoad é uma família de carregadores de adware e bundleware bem conhecida que tem como alvo os usuários do macOS desde 2017, ou ainda mais cedo. A ameaça instala um backdoor no sistema para liberar adware e aplicativos potencialmente indesejados (satisfeito), e também coleta informações.
Infelizmente, pesquisadores de segurança detectaram recentemente uma nova campanha distribuindo uma variante evoluída de Adload. Os dados mostram que pelo menos 150 amostras exclusivas do adware estão circulando na web este ano, alguns dos quais contornam com sucesso a proteção contra malware no dispositivo da Apple, conhecida como XProtect. “Sabe-se que algumas dessas amostras também foram abençoadas pelo serviço de reconhecimento de firma da Apple,”Dizem os pesquisadores do SentinelOne.
De acordo com o relatório deles, este ano viu outra iteração do adware malicioso que continua a impactar os usuários Mac que contam exclusivamente com o mecanismo XProtect da Apple para detecção de malware. “A boa notícia para aqueles sem proteção de segurança adicional é que a variante anterior relatada em 2019 agora é detectado pelo XProtect, via regra 22d71e9. A má notícia é que a variante usada nesta nova campanha não é detectada por nenhuma dessas regras. ” SentinelOne adiciona.
O que é diferente no AdLoad 2021 variante?
A iteração mais recente implementa um padrão diferente dependendo de uma extensão de arquivo (.system ou .service). A extensão do arquivo depende da localização do arquivo de persistência descartado e executável. Na maioria dos casos, ambas as extensões são encontradas no mesmo dispositivo infectado, sob a condição de que o usuário conceda privilégios ao instalador.
Observe que o Adload instalará um agente de persistência com ou sem privilégios. O agente é colocado na pasta LaunchAgents da biblioteca do usuário.
"A data, nós encontramos por aí 50 padrões de etiqueta únicos, com cada um tendo uma versão .service e .system. Com base em nosso entendimento anterior sobre AdLoad, esperamos que haja muitos mais,” dizem os pesquisadores.
É importante mencionar que os conta-gotas na última onda AdLoad compartilham o mesmo padrão que Bundlore e conta-gotas Shlayer. Todos eles utilizam um Player .app falso montado em um DMG. Muitos deles são assinados com uma assinatura válida, e em alguns casos, eles também foram autenticados. A carga útil final do AdLoad não é codificada e não é conhecida pela versão atual do XProtect da Apple, v2149.
Alguns anos atrás, pesquisadores de segurança encontraram uma nova variante do chamado Malware Shlayer, que tem sido direcionada aos usuários de MacOS. Shlayer é um malware multi-estágio, e a 2019 capacidades de escalonamento de privilégios adquiridos de versão. O malware também pode desativar o Gatekeeper para executar cargas de segundo estágio não assinadas. O malware Shlayer foi descoberto pela primeira vez em fevereiro 2018 por pesquisadores da Intego.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: