新的 AdLoad 活動專注於 Apple 設備、Mac
Sentinel Labs 的研究人員發布了一份關於針對 Apple 設備的全新惡意活動的新出版物。該活動正在傳播已知的 AdLoad 惡意軟件。
AdLoad 不是一個新威脅。研究人員已經知道該惡意軟件有一段時間了,它的第一個樣本早在 2017 年就被記錄在案。 Sentinel Labs 發布的報告詳細介紹了 AdLoad 惡意軟件的 150 個新樣本,這些樣本充當廣告軟件和捆綁軟件的加載程序。根據 Sentinel Labs 研究人員的說法,問題在於,這些新樣本可能會被 Apple 使用的“設備上的惡意軟件掃描程序”遺漏。
Apple 在 Mac 計算機上使用的反惡意軟件安全套件稱為 XProtect。在 AdLoad 存在的原始報告之後,Apple 確實在 XProtect 平台中包含了 AdLoad 保護。但是,這僅涵蓋了 AdLoad 的部分迭代和示例,可以追溯到 2019 年左右。
然而,Sentinel Labs 描述的新活動包括不會絆倒 Mac 防禦的樣本。 2021 年惡意活動中活躍使用的 AdLoad 樣本使用依賴於文件擴展名的模式,使用擴展名 .system 或 .service。通常,感染了最新版 AdLoad 的系統會同時顯示這兩種情況。
Sentinel Labs 進一步解釋說,新的 AdLoad 惡意軟件使用了一個假的 Player.app 文件,該文件存儲在 DMG 磁盤映像文件中。許多被檢查的樣本甚至具有有效的簽名。 Apple 一直在監控新報告的惡意軟件和上傳到 VirusTotal 等共同努力服務的惡意樣本,它們的證書通常會很快被吊銷。可悲的是,壞演員也很快被吸收,帶有新簽名的新樣本也同樣迅速湧現。
Sentinel Labs 在其報告中引用了安全公司 Confiant 的數據,他們證實當前活動中使用的一些 AdLoad 樣本實際上也經過了 Apple 的公證。
雖然 AdLoad 惡意軟件的一些新樣本是在 2020 年末發現的,但大部分 AdLoad 攻擊發生在 2021 年的 7 月和 8 月。
Sentinel Labs 強調了一個事實,即有大量已知的廣告軟件變體和样本仍未被 Apple 設備掃描服務檢測到,這可能表明 Mac 可能需要額外的安全軟件。