新的 AdLoad 活动专注于 Apple 设备、Mac

Sentinel Labs 的研究人员发布了一份关于针对 Apple 设备的全新恶意活动的新出版物。该活动正在传播已知的 AdLoad 恶意软件。

AdLoad 不是一个新威胁。研究人员已经知道该恶意软件有一段时间了，它的第一个样本早在 2017 年就被记录在案。 Sentinel Labs 发布的报告详细介绍了 AdLoad 恶意软件的 150 个新样本，这些样本充当广告软件和捆绑软件的加载程序。根据 Sentinel Labs 研究人员的说法，问题在于，这些新样本可能会被 Apple 使用的“设备上的恶意软件扫描程序”遗漏。

Apple 在 Mac 计算机上使用的反恶意软件安全套件称为 XProtect。在 AdLoad 存在的原始报告之后，Apple 确实在 XProtect 平台中包含了 AdLoad 保护。但是，这仅涵盖了 AdLoad 的部分迭代和示例，可以追溯到 2019 年左右。

然而，Sentinel Labs 描述的新活动包括不会绊倒 Mac 防御的样本。 2021 年恶意活动中活跃使用的 AdLoad 样本使用依赖于文件扩展名的模式，使用扩展名 .system 或 .service。通常，感染了最新版 AdLoad 的系统会同时显示这两种情况。

Sentinel Labs 进一步解释说，新的 AdLoad 恶意软件使用了一个假的 Player.app 文件，该文件存储在 DMG 磁盘映像文件中。许多被检查的样本甚至具有有效的签名。 Apple 一直在监控新报告的恶意软件和上传到 VirusTotal 等共同努力服务的恶意样本，它们的证书通常会很快被吊销。可悲的是，坏演员也很快被吸收，带有新签名的新样本也同样迅速涌现。

Sentinel Labs 在其报告中引用了安全公司 Confiant 的数据，他们证实当前活动中使用的一些 AdLoad 样本实际上也经过了 Apple 的公证。

虽然 AdLoad 恶意软件的一些新样本是在 2020 年末发现的，但大部分 AdLoad 攻击发生在 2021 年的 7 月和 8 月。

Sentinel Labs 强调了一个事实，即有大量已知的广告软件变体和样本仍未被 Apple 设备扫描服务检测到，这可能表明 Mac 可能需要额外的安全软件。