Nauja „AdLoad“ kampanija orientuota į „Apple“ įrenginius, „Mac“

„Sentinel Labs“ tyrėjai išleido naują leidinį apie visiškai naują kenkėjišką kampaniją, skirtą „Apple“ įrenginiams. Kampanija platina žinomą „AdLoad“ kenkėjišką programą.

„AdLoad“ nėra nauja grėsmė. Kenkėjiška programa tyrėjams buvo žinoma jau kurį laiką, o pirmieji jos pavyzdžiai buvo užfiksuoti jau 2017 m. Sentinel Labs paskelbtoje ataskaitoje aprašomi stulbinantys 150 naujesnių „AdLoad“ kenkėjiškų programų pavyzdžių, kurie veikia kaip reklaminių ir paketinių programų įkėlėjas. Problema ta, kad, pasak „Sentinel Labs“ tyrėjų, šie nauji mėginiai gali paslysti naudojant „įrenginio kenkėjiškų programų skaitytuvą“, kurį naudoja „Apple“.

Apsaugos nuo kenkėjiškų programų paketas, kurį „Apple“ naudoja „Mac“ kompiuteriuose, vadinamas „XProtect“. Po pirminių pranešimų apie „AdLoad“ egzistavimą „Apple“ įtraukė „AdLoad“ apsaugą į „XProtect“ platformą. Tačiau tai apima tik kai kuriuos „AdLoad“ pakartojimus ir pavyzdžius, kurie tęsiasi maždaug 2019 m.

Tačiau naujoje „Sentinel Labs“ aprašytoje kampanijoje yra pavyzdžių, kurie nepažeidžia „Mac“ apsaugos. „AdLoad“ pavyzdžiai, aktyviai naudojami kenkėjiškoje kampanijoje 2021 m., Naudoja modelius, priklausančius nuo failų plėtinių, naudojant plėtinius .system arba .service. Paprastai sistemoje, užkrėstoje naujausia „AdLoad“ versija, bus rodomi abu.

„Sentinel Labs“ taip pat paaiškina, kad naujoji „AdLoad“ kenkėjiška programa naudoja netikrą „Player.app“ failą, saugomą DMG disko vaizdo faile. Daugelis ištirtų pavyzdžių netgi turi galiojančius parašus. „Apple“ nuolat stebi, ar nėra naujai praneštų kenkėjiškų programų ir kenkėjiškų pavyzdžių, kurie įkeliami į bendrų pastangų paslaugas, pvz., „VirusTotal“, sertifikatai paprastai labai greitai atšaukiami. Deja, blogi aktoriai taip pat greitai įsisavina ir lygiai taip pat greitai atsiranda naujų pavyzdžių su naujais parašais.

Savo pranešime „Sentinel Labs“ cituoja saugumo firmos „Confiant“ duomenis, kurie patvirtina, kad kai kurie dabartinėje kampanijoje naudojami „AdLoad“ pavyzdžiai iš tikrųjų buvo patvirtinti ir „Apple“.

Kai kurie nauji „AdLoad“ kenkėjiškų programų pavyzdžiai buvo pastebėti 2020 m. Pabaigoje, tačiau dauguma „AdLoad“ atakų įvyko 2021 m. Liepos ir rugpjūčio mėnesiais.

„Sentinel Labs“ pabrėžė faktą, kad buvo žinoma daugybė žinomų reklaminių programų variantų ir pavyzdžių, kurių „Apple“ įrenginio nuskaitymo paslauga vis dar neaptinka, ir tai gali būti ženklas, kad „Mac“ gali reikėti papildomos saugos programinės įrangos.