新的 AdLoad 活动专注于 Apple 设备、Mac
Sentinel Labs 的研究人员发布了一份关于针对 Apple 设备的全新恶意活动的新出版物。该活动正在传播已知的 AdLoad 恶意软件。
AdLoad 不是一个新威胁。研究人员已经知道该恶意软件有一段时间了,它的第一个样本早在 2017 年就被记录在案。 Sentinel Labs 发布的报告详细介绍了 AdLoad 恶意软件的 150 个新样本,这些样本充当广告软件和捆绑软件的加载程序。根据 Sentinel Labs 研究人员的说法,问题在于,这些新样本可能会被 Apple 使用的“设备上的恶意软件扫描程序”遗漏。
Apple 在 Mac 计算机上使用的反恶意软件安全套件称为 XProtect。在 AdLoad 存在的原始报告之后,Apple 确实在 XProtect 平台中包含了 AdLoad 保护。但是,这仅涵盖了 AdLoad 的部分迭代和示例,可以追溯到 2019 年左右。
然而,Sentinel Labs 描述的新活动包括不会绊倒 Mac 防御的样本。 2021 年恶意活动中活跃使用的 AdLoad 样本使用依赖于文件扩展名的模式,使用扩展名 .system 或 .service。通常,感染了最新版 AdLoad 的系统会同时显示这两种情况。
Sentinel Labs 进一步解释说,新的 AdLoad 恶意软件使用了一个假的 Player.app 文件,该文件存储在 DMG 磁盘映像文件中。许多被检查的样本甚至具有有效的签名。 Apple 一直在监控新报告的恶意软件和上传到 VirusTotal 等共同努力服务的恶意样本,它们的证书通常会很快被吊销。可悲的是,坏演员也很快被吸收,带有新签名的新样本也同样迅速涌现。
Sentinel Labs 在其报告中引用了安全公司 Confiant 的数据,他们证实当前活动中使用的一些 AdLoad 样本实际上也经过了 Apple 的公证。
虽然 AdLoad 恶意软件的一些新样本是在 2020 年末发现的,但大部分 AdLoad 攻击发生在 2021 年的 7 月和 8 月。
Sentinel Labs 强调了一个事实,即有大量已知的广告软件变体和样本仍未被 Apple 设备扫描服务检测到,这可能表明 Mac 可能需要额外的安全软件。