MacOS设备中的AdLoad恶意软件绕过Apple设备上的恶意软件扫描程序,研究人员说。该活动使用了大约150个独特的样本,其中一些样本由Apple的公证服务签署。AdLoad是知名的苹果攻击软件,已经存在多年。它本质上是一种特洛伊木马,会在受感染的系统上打开后门,为客户端下载和安装广告软件或不需要的程序(PUP)。它还能够收集和传输受害者的机器信息,例如用户名和计算机名称。它还劫持搜索引擎的搜索结果,并在网页中注入大量广告。该软件最近改变了它的攻击策略,并更新了一项新功能来逃避主机上的安全软件。SentinelOne研究员PhilStokes在周三的一篇帖子中说:“今年我们发现了一个新版本的软件,它可以感染那些只使用苹果内置安全控件XProtect来检测恶意软件的Mac用户。”XProtect将AdLoad标记为大约11个不同的签名,但这些规则未检测到此新活动中使用的变体。”AdLoad感染程序2021AdLoad变体有一种新的感染方法。首先,根据Stokes的技术分析,他们安装了一个在发起攻击之前,在用户的LibraryLaunchAgents文件夹中使用具有.system或.service文件扩展名的持久代理。当用户登录时,持久代理执行隐藏在同一用户的~/Library/ApplicationSupport/文件夹中的二进制文件。但是,ApplicationSupport中的那个文件夹包含另一个名为/Services/的目录。捆绑文件将包含一个同名的可执行文件。还有一个名为.logg的隐藏跟踪文件,其中包含受害者的通用唯一标识符(UUID),它也是Stokes说,包含在ApplicationSupport文件夹中,他指出这些程序是经过混淆和加密的Zsh脚本,在执行之前会进行一系列的解包在攻击结束时从/tmp目录执行恶意软件(shell脚本)。其中许多是经过签名或公证的。“通常情况下,我们观察到在VirusTotal上观察样本的几天(有时是几小时)内,用于签署植入程序的开发人员证书被Apple吊销,然后AppleGatekeeper和OCSP签名检查用于提供一些临时保护以防止进一步感染使用这些特定的签名样本,我们通常会在数小时或数天内看到使用新证书签名的新样本。真的,这就像玩打地鼠游戏。”无论如何,当前版本的AppleXProtectv2149不知道最终的有效负载。漏洞利用Apple的XProtectSentinelLabs研究人员早在去年11月就观察到最新的AdLoader样本被用于攻击活动,但直到今年夏天,尤其是7月和8月,攻击中的样本数量才开始急剧上升。“当然,恶意软件开发人员似乎正在大量利用XProtect中的漏洞,在撰写本文时,XProtect最后一次更新为2149版是在6月15日至18日左右,而且该恶意软件在VirusTotal中的检测率确实很高。事实上,数百个一种知名广告软件变体的独特样本已经流传了至少10个月,并且一直未被Apple内置的恶意软件扫描程序检测到,这表明在Mac设备上有必要进一步加强终端安全控制。”本文翻译自:https://threatpost.com/adload-malware-apple-xprotect/168634/如有转载请注明原文地址。
