新的 AdLoad 活動專注於 Apple 設備、Mac

Sentinel Labs 的研究人員發布了一份關於針對 Apple 設備的全新惡意活動的新出版物。該活動正在傳播已知的 AdLoad 惡意軟件。

AdLoad 不是一個新威脅。研究人員已經知道該惡意軟件有一段時間了，它的第一個樣本早在 2017 年就被記錄在案。 Sentinel Labs 發布的報告詳細介紹了 AdLoad 惡意軟件的 150 個新樣本，這些樣本充當廣告軟件和捆綁軟件的加載程序。根據 Sentinel Labs 研究人員的說法，問題在於，這些新樣本可能會被 Apple 使用的“設備上的惡意軟件掃描程序”遺漏。

Apple 在 Mac 計算機上使用的反惡意軟件安全套件稱為 XProtect。在 AdLoad 存在的原始報告之後，Apple 確實在 XProtect 平台中包含了 AdLoad 保護。但是，這僅涵蓋了 AdLoad 的部分迭代和示例，可以追溯到 2019 年左右。

然而，Sentinel Labs 描述的新活動包括不會絆倒 Mac 防禦的樣本。 2021 年惡意活動中活躍使用的 AdLoad 樣本使用依賴於文件擴展名的模式，使用擴展名 .system 或 .service。通常，感染了最新版 AdLoad 的系統會同時顯示這兩種情況。

Sentinel Labs 進一步解釋說，新的 AdLoad 惡意軟件使用了一個假的 Player.app 文件，該文件存儲在 DMG 磁盤映像文件中。許多被檢查的樣本甚至具有有效的簽名。 Apple 一直在監控新報告的惡意軟件和上傳到 VirusTotal 等共同努力服務的惡意樣本，它們的證書通常會很快被吊銷。可悲的是，壞演員也很快被吸收，帶有新簽名的新樣本也同樣迅速湧現。

Sentinel Labs 在其報告中引用了安全公司 Confiant 的數據，他們證實當前活動中使用的一些 AdLoad 樣本實際上也經過了 Apple 的公證。

雖然 AdLoad 惡意軟件的一些新樣本是在 2020 年末發現的，但大部分 AdLoad 攻擊發生在 2021 年的 7 月和 8 月。

Sentinel Labs 強調了一個事實，即有大量已知的廣告軟件變體和样本仍未被 Apple 設備掃描服務檢測到，這可能表明 Mac 可能需要額外的安全軟件。