Изследователите откриват нови кампании за злонамерен софтуер AdLoad, насочени към Mac и продукти на Apple

SentinelLabs пусна нов доклад за откриването на нова рекламна кампания, насочена към Apple.

След като идентифицира AdLoad като зареждащ рекламен и пакетен софтуер, който в момента засяга macOS през 2019 г., компанията за киберсигурност заяви, че е видяла 150 нови проби от рекламния софтуер, за които те твърдят, че „остават неоткрити от скенера за злонамерен софтуер на устройството на Apple“. Според доклада някои от пробите дори са нотариално заверени от Apple.

Apple използва системата за сигурност XProtect за откриване на зловреден софтуер на всички Mac и първоначално е създала схема за защита срещу AdLoad, която се носи в интернет поне от 2017 г., според доклада.

XProtect вече има около 11 различни подписа за AdLoad, някои от които обхващат версията за 2019 г. на рекламния софтуер SentinelLabs, намерена през тази година. Но най -новата открита кампания не е защитена от нищо в XProtect, според компанията.

„През 2019 г. този модел включваше някаква комбинация от думите„ Търсене “,„ Резултат “и„ Демон “, както в примера, показан по -горе:„ ElementarySignalSearchDaemon “. Тук могат да бъдат намерени много други примери. Вариантът за 2021 г. използва различен модел, който основно разчита на разширението на файла, което е .system или .service “, обясниха изследователите.

“Кое разширение на файла се използва, зависи от местоположението на изпуснатия постоянен файл и изпълнимия файл, както е описано по -долу, но обикновено и .system и .service файлове ще бъдат намерени на едно и също заразено устройство, ако потребителят е дал привилегии на инсталатора.”

Около 50 различни модела на етикети са открити от изследователите и са открили, че използваните капкомери имат същия модел като капкомерите Bundlore/Shlayer.

“Те използват фалшив Player.app, монтиран в DMG. Много от тях са подписани с валиден подпис; в някои случаи дори е известно, че са нотариално заверени”, се казва в доклада.

„Обикновено наблюдаваме, че сертификатите за разработчици, използвани за подписване на капкомерите, се отменят от Apple в рамките на няколко дни (понякога часове) от пробите, наблюдавани във VirusTotal, предлагащи известна закъсняла и временна защита срещу по -нататъшни инфекции от тези конкретни подписани проби посредством Проверки за подпис на Gatekeeper и OCSP. Също така обикновено виждаме нови образци, подписани със свежи сертификати, които се появяват в рамките на часове и дни. Наистина, това е игра на удряне на къртица. ”

SentinelLabs цитира изследване на анализатори от Confiant потвърждава, че пробите в дивата природа са нотариално заверени от Apple.

Пробите започнаха да се появяват през ноември 2020 г. и станаха по -забележими през 2021 г. През юли и август имаше още по -рязко увеличение, тъй като все повече нападатели се опитват да се възползват от пропуските на XProtect, преди да бъдат затворени.

Последната актуализация на XProtect е била на 18 юни, според SentinelLabs. Apple не отговори на исканията за коментар.

Въпреки липсата на защита от XProtect, други доставчици имат системи за откриване на зловреден софтуер.

„Както самата Apple отбеляза и описахме другаде, злонамереният софтуер на macOS е проблем, с който производителят на устройството се бори да се справи“, се казва в доклада.

„Фактът, че стотици уникални проби от добре познат вариант на рекламен софтуер се разпространяват в продължение на поне 10 месеца и въпреки това все още остават незабелязани от вградения скенер за зловреден софтуер на Apple, демонстрира необходимостта от добавяне на допълнителни контроли за сигурност на крайните точки към устройства с Mac.“

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com