Neue AdLoad-Kampagne konzentriert sich auf Apple-Geräte und Macs
Forscher von Sentinel Labs haben eine neue Veröffentlichung zu einer brandneuen bösartigen Kampagne veröffentlicht, die auf Apple-Geräte abzielt. Die Kampagne verbreitet die bekannte Malware AdLoad.
AdLoad ist keine neue Bedrohung. Die Malware ist Forschern schon seit einiger Zeit bekannt, ihre ersten Beispiele wurden bereits 2017 dokumentiert. Der von Sentinel Labs veröffentlichte Bericht beschreibt erstaunliche 150 neuere Beispiele der AdLoad-Malware, die als Lader für Adware und Bundleware fungiert. Das Problem ist, laut Sentinel Labs-Forschern, dass diese neuen Samples durch den "On-Device-Malware-Scanner", den Apple verwendet, durchschlüpfen können.
Die von Apple auf Mac-Computern verwendete Anti-Malware-Sicherheitssuite heißt XProtect. Nach den ursprünglichen Berichten über die Existenz von AdLoad hat Apple den AdLoad-Schutz in die XProtect-Plattform integriert. Dies deckt jedoch nur einige der Iterationen und Beispiele von AdLoad ab, die bis ins Jahr 2019 zurückreichen.
Die von Sentinel Labs beschriebene neue Kampagne enthält jedoch Beispiele, die die Mac-Abwehr nicht beeinträchtigen. Die Beispiele von AdLoad, die in der bösartigen Kampagne im Jahr 2021 aktiv verwendet werden, verwenden Muster, die von Dateierweiterungen abhängig sind, unter Verwendung der Erweiterungen .system oder .service. Normalerweise werden auf einem mit der neuesten Version von AdLoad infizierten System beide angezeigt.
Sentinel Labs erklärt weiter, dass die neue AdLoad-Malware eine gefälschte Player.app-Datei verwendet, die in einer DMG-Disk-Image-Datei gespeichert ist. Viele der untersuchten Proben haben sogar gültige Signaturen. Apple sucht ständig nach neu gemeldeter Malware und bösartigen Beispielen, deren Zertifikate bei gemeinsamen Diensten wie VirusTotal normalerweise sehr schnell widerrufen werden. Leider werden auch die schlechten Schauspieler schnell aufgenommen und neue Samples mit neuen Signaturen sprießen genauso schnell.
Sentinel Labs zitiert in seinem Bericht Daten der Sicherheitsfirma Confiant, die bestätigen, dass einige der in der aktuellen Kampagne verwendeten AdLoad-Beispiele tatsächlich auch von Apple beglaubigt wurden.
Während einige der neuen Beispiele der AdLoad-Malware Ende 2020 entdeckt wurden, fand der Großteil der AdLoad-Angriffe in den Monaten Juli und August 2021 statt.
Sentinel Labs hob die Tatsache hervor, dass es eine große Anzahl bekannter Adware-Varianten und -Beispiele gibt, die vom Apple-Dienst zum Scannen auf Geräten immer noch nicht erkannt werden, und dies könnte ein Hinweis darauf sein, dass Macs möglicherweise zusätzliche Sicherheitssoftware benötigen.