僅在 2021 年,涉及臭名昭著的 macOS 廣告軟體系列的新一波攻擊已經發展到利用大約 150 個獨特的樣本,其中一些已經繞過了 Apple 的設備上惡意軟體掃描程式,甚至由其自己的公證服務簽名,突出了惡意軟體不斷嘗試適應和逃避檢測。
“AdLoad”,正如已知的惡意軟體,是至少自 2017 年以來針對 macOS 的幾種廣泛使用的廣告軟體和搭售軟體載入程式之一,它能夠後門受影響的系統下載和安裝廣告軟體或潛在有害程式 (PUP),以及收集和傳輸有關受害機器的資訊。
SentinelOne 威脅研究員 Phil Stokes在上周發佈的一份分析報告中表示,新版本“繼續影響僅依賴 Apple 內置安全控制 XProtect 進行惡意軟體檢測的 Mac 使用者” 。“然而,截至今天,XProtect 可以說有大約 11 個不同的 AdLoad 簽名 [但是] 在這個新活動中使用的變體沒有被任何這些規則檢測到。”
2021 版 AdLoad 鎖定使用不同檔副檔名模式(.system 或 .service)的持久性和可執行名稱,使惡意軟體能夠繞過 Apple 整合的額外安全保護,最終導致安裝持久性代理,反過來,這會觸發攻擊鏈以部署偽裝成虛假 Player.app 的惡意投放器來安裝惡意軟體。
更重要的是,將滴管簽署使用開發者證書具有有效的簽名,促使蘋果吊銷證書“關於VirusTotal被觀察的樣本天(有時小時)的問題中,由這些特定的提供防止進一步感染,一些遲來的和臨時的保護通過 Gatekeeper 和 OCSP 簽名檢查對樣本進行簽名,”Stokes 指出。
SentinelOne 表示,它在幾個小時和幾天內檢測到用新證書簽名的新樣本,稱其為“打地鼠遊戲”。據說 AdLoad 的第一個樣本最早於 2020 年 11 月出現,在 2021 年上半年定期出現,隨後在整個 7 月,特別是 2021 年 8 月的前幾周急劇上升。
AdLoad 與 Shlayer 一起屬於惡意軟體家族,眾所周知,它可以繞過 XProtect 並使用其他惡意負載感染 Mac。2021 年 4 月,Apple 解決了其 Gatekeeper 服務 ( CVE-2021-30657 ) 中一個被積極利用的零日漏洞,Shlayer 運營商濫用該漏洞在 Mac 上部署未經批准的軟體。
“macOS 上的惡意軟體是設備製造商正在努力應對的一個問題,”斯托克斯說。“數百個知名廣告軟體變種的獨特樣本已經傳播了至少 10 個月,但仍未被 Apple 的內置惡意軟體掃描程式檢測到,這一事實表明,有必要為 Mac 設備添加進一步的端點安全控制。”
|