Nowa kampania AdLoad koncentruje się na urządzeniach Apple i komputerach Mac
Badacze z Sentinel Labs opublikowali nową publikację na temat zupełnie nowej złośliwej kampanii wymierzonej w urządzenia Apple. Kampania rozpowszechnia znane złośliwe oprogramowanie AdLoad.
AdLoad nie jest nowym zagrożeniem. Szkodnik jest znany badaczom już od jakiegoś czasu, a jego pierwsze próbki zostały udokumentowane już w 2017 roku. Raport opublikowany przez Sentinel Labs zawiera oszałamiające 150 nowszych próbek złośliwego oprogramowania AdLoad, które działa jako moduł ładujący dla oprogramowania reklamowego i oprogramowania łączonego. Problem polega na tym, według badaczy Sentinel Labs, że te nowe próbki mogą prześlizgnąć się przez „skaner złośliwego oprogramowania na urządzeniu”, którego używa Apple.
Pakiet zabezpieczający przed złośliwym oprogramowaniem używany przez Apple na komputerach Mac nazywa się XProtect. Po pierwotnych doniesieniach o istnieniu AdLoad, Apple włączyło ochronę AdLoad do platformy XProtect. Obejmuje to jednak tylko niektóre iteracje i próbki AdLoad, sięgające około roku 2019.
Nowa kampania opisana przez Sentinel Labs zawiera jednak próbki, które nie natrafiają na systemy obronne Maca. Próbki AdLoad, które są aktywnie wykorzystywane w złośliwej kampanii w 2021 roku, wykorzystują wzorce zależne od rozszerzeń plików, wykorzystując rozszerzenia .system lub .service. Zwykle system zainfekowany najnowszą wersją AdLoad będzie zawierał oba te elementy.
Sentinel Labs wyjaśnia dalej, że nowe złośliwe oprogramowanie AdLoad wykorzystuje fałszywy plik Player.app, przechowywany w pliku obrazu dysku DMG. Wiele z badanych próbek posiada nawet ważne podpisy. Apple zawsze monitoruje nowo zgłoszone złośliwe oprogramowanie i złośliwe próbki, które są przesyłane do wspólnych usług, takich jak VirusTotal, zwykle bardzo szybko unieważniają swoje certyfikaty. Niestety, źli aktorzy również szybko się wchłaniają, a nowe próbki z nowymi sygnaturami również wyrastają równie szybko.
W swoim raporcie Sentinel Labs przytacza dane firmy Confiant ochroniarskiej, która potwierdza, że niektóre próbki AdLoad użyte w obecnej kampanii zostały również poświadczone notarialnie przez Apple.
Podczas gdy niektóre nowe próbki złośliwego oprogramowania AdLoad zostały wykryte pod koniec 2020 r., większość ataków AdLoad miała miejsce w lipcu i sierpniu 2021 r.
Sentinel Labs zwrócił uwagę na fakt, że istnieje duża liczba znanych wariantów i próbek adware, które są nadal niewykrywane przez usługę skanowania na urządzeniu Apple, co może wskazywać, że komputery Mac mogą potrzebować dodatkowego oprogramowania zabezpieczającego.
