Новая кампания AdLoad ориентирована на устройства Apple и Mac

Исследователи из Sentinel Labs выпустили новую публикацию о совершенно новой вредоносной кампании, нацеленной на устройства Apple. Кампания распространяет известное вредоносное ПО AdLoad.

AdLoad - не новая угроза. Вредоносное ПО уже давно известно исследователям, первые образцы которого были задокументированы еще в 2017 году. В отчете, опубликованном Sentinel Labs, подробно рассказывается о 150 новых образцах вредоносного ПО AdLoad, которое действует как загрузчик для рекламного ПО и связанного ПО. Проблема в том, что, по мнению исследователей Sentinel Labs, эти новые образцы могут проскользнуть через «сканер вредоносных программ на устройстве», который использует Apple.

Пакет защиты от вредоносных программ, используемый Apple на компьютерах Mac, называется XProtect. После первых сообщений о существовании AdLoad Apple включила защиту AdLoad в платформу XProtect. Однако это касается только некоторых итераций и примеров AdLoad, начиная примерно с 2019 года.

Однако новая кампания, описанная Sentinel Labs, включает образцы, которые не нарушают защиту Mac. Образцы AdLoad, которые активно используются во вредоносной кампании в 2021 году, используют шаблоны, зависящие от расширений файлов, с использованием расширений .system или .service. Обычно в системе, зараженной последней версией AdLoad, отображаются обе эти версии.

Sentinel Labs далее объясняет, что новое вредоносное ПО AdLoad использует поддельный файл Player.app, хранящийся внутри файла образа диска DMG. Многие из исследованных образцов даже имеют действительные подписи. Apple всегда отслеживает появление новых вредоносных программ и вредоносных образцов, которые загружаются в совместные службы, такие как VirusTotal, обычно очень быстро отзываются сертификаты. К сожалению, плохие актеры тоже быстро осваиваются, и так же быстро появляются новые образцы с новыми сигнатурами.

В своем отчете Sentinel Labs цитирует данные охранной компании Confiant, которые подтверждают, что некоторые образцы AdLoad, использованные в текущей кампании, также были нотариально заверены Apple.

Хотя некоторые из новых образцов вредоносного ПО AdLoad были обнаружены в конце 2020 года, большинство атак AdLoad произошло в июле и августе 2021 года.

Sentinel Labs подчеркнула тот факт, что существует большое количество известных вариантов и образцов рекламного ПО, которые до сих пор не обнаруживаются службой сканирования устройств Apple, и это может указывать на то, что компьютерам Mac может потребоваться дополнительное программное обеспечение безопасности.