新しいAdLoadキャンペーンはAppleデバイス、Macに焦点を当てています
Sentinel Labsの研究者は、Appleデバイスを標的としたまったく新しい悪意のあるキャンペーンに関する新しい出版物をリリースしました。このキャンペーンは、既知のAdLoadマルウェアを広めています。
AdLoadは新しい脅威ではありません。マルウェアはしばらくの間研究者に知られており、最初のサンプルは早くも2017年に文書化されています。SentinelLabsが発行したレポートでは、アドウェアとバンドルウェアのローダーとして機能するAdLoadマルウェアの驚異的な150の新しいサンプルについて詳しく説明しています。問題は、Sentinel Labsの研究者によると、これらの新しいサンプルは、Appleが使用する「デバイス上のマルウェアスキャナー」によってスリップする可能性があるということです。
AppleがMacコンピュータで使用するマルウェア対策セキュリティスイートはXProtectと呼ばれます。 AdLoadの存在に関する最初の報告の後、AppleはXProtectプラットフォームにAdLoad保護を含めました。ただし、これはAdLoadの反復とサンプルの一部のみを対象としており、2019年頃までさかのぼります。
ただし、Sentinel Labsによって説明された新しいキャンペーンには、Macの防御を損なうことのないサンプルが含まれています。 2021年に悪意のあるキャンペーンで積極的に使用されているAdLoadのサンプルは、拡張子.systemまたは.serviceを使用して、ファイル拡張子に依存するパターンを使用しています。通常、最新バージョンのAdLoadに感染したシステムでは、両方が表示されます。
Sentinel Labsはさらに、新しいAdLoadマルウェアがDMGディスクイメージファイル内に保存されている偽のPlayer.appファイルを使用していると説明しています。調べたサンプルの多くには、有効な署名さえあります。 Appleは、VirusTotalなどの共同作業サービスにアップロードされる新たに報告されたマルウェアや悪意のあるサンプルを常に監視しており、通常、証明書は非常に迅速に取り消されます。悲しいことに、悪意のある人物の取り込みも迅速であり、新しい署名を含む新しいサンプルも同様に迅速に発生します。
Sentinel Labsはそのレポートで、セキュリティ会社Confiantからのデータを引用しています。この会社は、現在のキャンペーンで使用されているAdLoadサンプルの一部が実際にAppleによって公証されていることを確認しています。
AdLoadマルウェアの新しいサンプルのいくつかは2020年後半に発見されましたが、AdLoad攻撃の大部分は2021年の7月と8月に発生しました。
Sentinel Labsは、Appleのオンデバイススキャンサービスではまだ検出されていない既知のアドウェアの亜種やサンプルが多数あるという事実を強調しました。これは、Macに追加のセキュリティソフトウェアが必要な可能性があることを示している可能性があります。