Nova campanha AdLoad focada em dispositivos Apple, Macs
Os pesquisadores do Sentinel Labs lançaram uma nova publicação sobre uma nova campanha maliciosa que visa dispositivos Apple. A campanha está espalhando o conhecido malware AdLoad.
AdLoad não é uma nova ameaça. O malware já é conhecido dos pesquisadores há algum tempo, com suas primeiras amostras documentadas já em 2017. O relatório publicado pelo Sentinel Labs detalha 150 amostras mais recentes do malware AdLoad que atua como um carregador para adware e bundleware. O problema é que, de acordo com os pesquisadores do Sentinel Labs, essas novas amostras podem escapar pelo "scanner de malware no dispositivo" que a Apple usa.
O pacote de segurança anti-malware usado pela Apple em computadores Mac é denominado XProtect. Após os relatórios originais da existência do AdLoad, a Apple incluiu a proteção AdLoad na plataforma XProtect. No entanto, isso cobre apenas algumas das iterações e exemplos do AdLoad, desde o ano de 2019.
A nova campanha descrita pelo Sentinel Labs, no entanto, inclui exemplos que não atrapalham as defesas do Mac. As amostras de AdLoad que estão sendo ativamente usadas na campanha maliciosa em 2021 usam padrões que dependem de extensões de arquivo, usando as extensões .system ou .service. Normalmente, um sistema infectado com a versão mais recente do AdLoad terá ambos exibidos nele.
O Sentinel Labs explica ainda que o novo malware AdLoad usa um arquivo Player.app falso, armazenado dentro de um arquivo de imagem de disco DMG. Muitas das amostras examinadas têm até assinaturas válidas. A Apple está sempre monitorando malware recentemente relatado e amostras maliciosas que são carregadas para serviços de esforço conjunto, como o VirusTotal, geralmente têm seus certificados revogados muito rapidamente. Infelizmente, os malfeitores também são rápidos na compreensão e novos samples com novas assinaturas surgem com a mesma rapidez.
Em seu relatório, o Sentinel Labs cita dados da empresa de segurança Confiant, que confirma que algumas das amostras de AdLoad usadas na campanha atual também foram autenticadas pela Apple também.
Embora algumas das novas amostras do malware AdLoad tenham sido detectadas no final de 2020, a maioria dos ataques AdLoad ocorreu nos meses de julho e agosto de 2021.
O Sentinel Labs destacou o fato de haver um grande número de variantes e amostras de adware conhecidas que ainda não foram detectadas pelo serviço de varredura no dispositivo da Apple e isso pode ser uma indicação de que os Macs podem precisar de software de segurança adicional.
