La nouvelle campagne AdLoad se concentre sur les appareils Apple et les Mac
Des chercheurs de Sentinel Labs ont publié une nouvelle publication sur une toute nouvelle campagne malveillante ciblant les appareils Apple. La campagne diffuse le malware connu AdLoad.
AdLoad n'est pas une nouvelle menace. Le malware est connu des chercheurs depuis un certain temps maintenant, ses premiers échantillons ayant été documentés dès 2017. Le rapport publié par Sentinel Labs détaille 150 nouveaux échantillons stupéfiants du malware AdLoad qui agit comme un chargeur pour les adwares et bundleware. Le problème est, selon les chercheurs de Sentinel Labs, que ces nouveaux échantillons peuvent échapper au « scanneur de logiciels malveillants sur l'appareil » utilisé par Apple.
La suite de sécurité anti-malware utilisée par Apple sur les ordinateurs Mac s'appelle XProtect. Après les premiers rapports sur l'existence d'AdLoad, Apple a inclus la protection AdLoad dans la plate-forme XProtect. Cependant, cela ne couvre que certaines des itérations et des échantillons d'AdLoad, remontant à environ l'année 2019.
La nouvelle campagne décrite par Sentinel Labs, cependant, comprend des échantillons qui ne déclenchent pas les défenses Mac. Les exemples d'AdLoad qui sont activement utilisés dans la campagne malveillante en 2021 utilisent des modèles qui dépendent des extensions de fichier, en utilisant les extensions .system ou .service. Habituellement, un système infecté par la dernière version d'AdLoad aura les deux qui s'afficheront dessus.
Sentinel Labs explique en outre que le nouveau malware AdLoad utilise un faux fichier Player.app, stocké dans un fichier d'image disque DMG. De nombreux échantillons examinés ont même des signatures valides. Apple surveille en permanence les logiciels malveillants et les échantillons malveillants nouvellement signalés qui sont téléchargés sur des services conjoints tels que VirusTotal dont les certificats sont généralement révoqués très rapidement. Malheureusement, les mauvais acteurs sont également rapidement adoptés et de nouveaux échantillons avec de nouvelles signatures surgissent tout aussi rapidement.
Dans son rapport, Sentinel Labs cite des données de la société de sécurité Confiant, qui confirme que certains des échantillons AdLoad utilisés dans la campagne actuelle ont également été notariés par Apple.
Alors que certains des nouveaux échantillons du malware AdLoad ont été repérés fin 2020, la majorité des attaques AdLoad ont eu lieu au cours des mois de juillet et août 2021.
Sentinel Labs a souligné le fait qu'il existe un grand nombre de variantes et d'échantillons de logiciels publicitaires connus qui ne sont toujours pas détectés par le service d'analyse sur appareil d'Apple, ce qui peut indiquer que les Mac peuvent avoir besoin d'un logiciel de sécurité supplémentaire.