仅在 2021 年,涉及臭名昭著的 macOS 广告软件系列的新一波攻击已经发展到利用大约 150 个独特的样本,其中一些已经绕过了 Apple 的设备上恶意软件扫描程序,甚至由其自己的公证服务签名,突出了恶意软件不断尝试适应和逃避检测。
“AdLoad”,正如已知的恶意软件,是至少自 2017 年以来针对 macOS 的几种广泛使用的广告软件和捆绑软件加载程序之一,它能够后门受影响的系统下载和安装广告软件或潜在有害程序 (PUP),以及收集和传输有关受害机器的信息。
SentinelOne 威胁研究员 Phil Stokes在上周发布的一份分析报告中表示,新版本“继续影响仅依赖 Apple 内置安全控制 XProtect 进行恶意软件检测的 Mac 用户” 。“然而,截至今天,XProtect 可以说有大约 11 个不同的 AdLoad 签名 [但是] 在这个新活动中使用的变体没有被任何这些规则检测到。”
2021 版 AdLoad 锁定使用不同文件扩展名模式(.system 或 .service)的持久性和可执行名称,使恶意软件能够绕过 Apple 整合的额外安全保护,最终导致安装持久性代理,反过来,这会触发攻击链以部署伪装成虚假 Player.app 的恶意投放器来安装恶意软件。
更重要的是,将滴管签署使用开发者证书具有有效的签名,促使苹果吊销证书“关于VirusTotal被观察的样本天(有时小时)的问题中,由这些特定的提供防止进一步感染,一些迟来的和临时的保护通过 Gatekeeper 和 OCSP 签名检查对样本进行签名,”Stokes 指出。
SentinelOne 表示,它在几个小时和几天内检测到用新证书签名的新样本,称其为“打地鼠游戏”。据说 AdLoad 的第一个样本最早于 2020 年 11 月出现,在 2021 年上半年定期出现,随后在整个 7 月,特别是 2021 年 8 月的前几周急剧上升。
AdLoad 与 Shlayer 一起属于恶意软件家族,众所周知,它可以绕过 XProtect 并使用其他恶意负载感染 Mac。2021 年 4 月,Apple 解决了其 Gatekeeper 服务 ( CVE-2021-30657 ) 中一个被积极利用的零日漏洞,Shlayer 运营商滥用该漏洞在 Mac 上部署未经批准的软件。
“macOS 上的恶意软件是设备制造商正在努力应对的一个问题,”斯托克斯说。“数百个知名广告软件变种的独特样本已经传播了至少 10 个月,但仍未被 Apple 的内置恶意软件扫描程序检测到,这一事实表明,有必要为 Mac 设备添加进一步的端点安全控制。”
极牛网精选文章《新型AdLoad变体绕过Apple的防护措施来攻击macOS系统》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/15888.html