Nieuwe AdLoad-campagne richt zich op Apple-apparaten, Macs
Onderzoekers van Sentinel Labs hebben een nieuwe publicatie uitgebracht over een gloednieuwe kwaadaardige campagne gericht op Apple-apparaten. De campagne verspreidt de bekende AdLoad-malware.
AdLoad is geen nieuwe bedreiging. De malware is al een tijdje bekend bij onderzoekers en de eerste voorbeelden zijn al in 2017 gedocumenteerd. Het rapport gepubliceerd door Sentinel Labs beschrijft maar liefst 150 nieuwere voorbeelden van de AdLoad-malware die fungeren als een lader voor adware en bundelware. Het probleem is, volgens onderzoekers van Sentinel Labs, dat die nieuwe voorbeelden kunnen glippen door de "malwarescanner op het apparaat" die Apple gebruikt.
De anti-malware beveiligingssuite die door Apple op Mac-computers wordt gebruikt, heet XProtect. Na de oorspronkelijke berichten over het bestaan van AdLoad heeft Apple wel AdLoad-beveiliging in het XProtect-platform opgenomen. Dit dekt echter slechts enkele van de iteraties en voorbeelden van AdLoad, die teruggaan tot rond het jaar 2019.
De nieuwe campagne die door Sentinel Labs wordt beschreven, bevat echter voorbeelden die de Mac-verdediging niet verstoren. De voorbeelden van AdLoad die actief worden gebruikt in de kwaadaardige campagne in 2021, gebruiken patronen die afhankelijk zijn van bestandsextensies, met behulp van de extensies .system of .service. Gewoonlijk worden beide op een systeem dat is geïnfecteerd met de nieuwste versie van AdLoad, weergegeven.
Sentinel Labs legt verder uit dat de nieuwe AdLoad-malware een nep Player.app-bestand gebruikt, dat is opgeslagen in een DMG-schijfkopiebestand. Veel van de onderzochte monsters hebben zelfs geldige handtekeningen. Apple houdt altijd toezicht op nieuw gerapporteerde malware en kwaadaardige voorbeelden die worden geüpload naar gezamenlijke inspanningsservices zoals VirusTotal, waarvan de certificaten meestal zeer snel worden ingetrokken. Helaas nemen de slechte acteurs het ook snel op en nieuwe voorbeelden met nieuwe handtekeningen ontkiemen net zo snel.
In zijn rapport citeert Sentinel Labs gegevens van beveiligingsbedrijf Confiant, die bevestigen dat sommige van de AdLoad-voorbeelden die in de huidige campagne zijn gebruikt, ook daadwerkelijk door Apple zijn bekrachtigd.
Hoewel enkele van de nieuwe voorbeelden van de AdLoad-malware eind 2020 werden opgemerkt, vonden de meeste AdLoad-aanvallen plaats in de maanden juli en augustus in 2021.
Sentinel Labs benadrukte het feit dat er een groot aantal bekende adware-varianten en voorbeelden zijn die nog steeds onopgemerkt zijn door de Apple scanservice op het apparaat en dit kan erop wijzen dat Macs mogelijk aanvullende beveiligingssoftware nodig hebben.
