研究人員說，MacOS設(shè)備中的AdLoad惡意軟件繞過了蘋果設(shè)備上的惡意軟件掃描器。該攻擊活動使用了大約150個獨特的樣本，其中一些是由蘋果公司的公證服務(wù)簽署的。

AdLoad是一個著名的蘋果攻擊軟件，已經(jīng)出現(xiàn)了很多年。它本質(zhì)上就是一個特洛伊木馬，它會在受感染的系統(tǒng)上打開一個后門，下載和安裝廣告軟件或客戶所不需要的程序(PUPs)。它還能夠收集和傳輸受害者的機(jī)器信息，如用戶名和計算機(jī)名稱。它還會劫持搜索引擎的搜索結(jié)果，并在網(wǎng)頁中注入大量廣告。

該軟件最近改變了攻擊戰(zhàn)術(shù)，更新了一個新的功能來逃避主機(jī)上的安全軟件。

SentinelOne公司的研究員Phil Stokes在周三的一篇文章中說："今年我們發(fā)現(xiàn)了該軟件的一個新的版本，可以感染那些僅僅使用蘋果內(nèi)置安全控件XProtect檢測惡意軟件的Mac用戶。Xprotect標(biāo)記了AdLoad大約11個不同的簽名，但在此次新的攻擊活動中使用的變體卻沒有被這些規(guī)則檢測到。”

AdLoad感染程序

2021年的AdLoad變種出現(xiàn)了一種新的感染方法。首先，根據(jù)斯托克斯的技術(shù)分析，它們在用戶的Library LaunchAgents文件夾中安裝一個.system或.service文件擴(kuò)展名的持久性代理，然后才開始它們的攻擊。

當(dāng)用戶登錄時，該持久性代理會執(zhí)行一個隱藏在同一用戶的~/Library/Application Support/文件夾中的二進(jìn)制文件。然而Application Support中的那個文件夾又包含了另一個名為/Services/的目錄。

該捆綁文件會包含一個具有相同名稱的可執(zhí)行文件。斯托克斯說，還有一個名為.logg的隱藏跟蹤文件，其中包含了受害者的通用唯一標(biāo)識符(UUID)，它也包含在Application Support文件夾中。

他指出，這些程序是被混淆加密的Zsh腳本，在攻擊的最后從/tmp目錄中執(zhí)行惡意軟件(一個shell腳本)之前，會進(jìn)行一系列的解包。其中許多是經(jīng)過簽名或公證的。

斯托克斯說："通常情況下，我們會觀察到，在VirusTotal上觀察到樣本的幾天內(nèi)(有時是幾小時)，用于簽署droppers的開發(fā)者證書會被蘋果公司撤銷，然后蘋果公司會通過Gatekeeper和OCSP簽名檢查，來提供一些臨時的保護(hù)，防止這些特定的簽名樣本進(jìn)一步感染，另外，我們通常看到在幾小時或幾天內(nèi)就會出現(xiàn)用新證書簽名的新樣本。真的，這就像是玩打地鼠游戲"。

在任何情況下，最終的有效載荷并不為當(dāng)前版本的蘋果XProtect v2149所知。

利用蘋果的XProtect的漏洞

SentinelLabs的研究人員觀察到最新的AdLoader樣本早在去年11月就開始在攻擊活動中使用，但直到今年夏天，特別是7月和8月，攻擊的樣本數(shù)量才開始急劇上升。

斯托克斯說："當(dāng)然，惡意軟件開發(fā)者似乎在大量利用XProtect的漏洞進(jìn)行攻擊，在撰寫本報告時，XProtect最后一次更新到2149版本是在6月15-18日左右，該惡意軟件在VirusTotal的檢測率的確很高。一個著名的廣告軟件變體的數(shù)百個獨特樣本已經(jīng)流通了至少10個月，但仍未被蘋果公司的內(nèi)置惡意軟件掃描器檢測到，這一事實表明在Mac設(shè)備上很有必要進(jìn)一步增加終端的安全控制。"

本文翻譯自：https://threatpost.com/adload-malware-apple-xprotect/168634/如若轉(zhuǎn)載，請注明原文地址。