研究人员说,MacOS设备中的AdLoad恶意软件绕过了苹果设备上的恶意软件扫描器。该攻击活动使用了大约150个独特的样本,其中一些是由苹果公司的公证服务签署的。
AdLoad是一个著名的苹果攻击软件,已经出现了很多年。它本质上就是一个特洛伊木马,它会在受感染的系统上打开一个后门,下载和安装广告软件或客户所不需要的程序(PUPs)。它还能够收集和传输受害者的机器信息,如用户名和计算机名称。它还会劫持搜索引擎的搜索结果,并在网页中注入大量广告。
该软件最近改变了攻击战术,更新了一个新的功能来逃避主机上的安全软件。
SentinelOne公司的研究员Phil Stokes在周三的一篇文章中说:"今年我们发现了该软件的一个新的版本,可以感染那些仅仅使用苹果内置安全控件XProtect检测恶意软件的Mac用户。Xprotect标记了AdLoad大约11个不同的签名,但在此次新的攻击活动中使用的变体却没有被这些规则检测到。”
AdLoad感染程序
2021年的AdLoad变种出现了一种新的感染方法。首先,根据斯托克斯的技术分析,它们在用户的Library LaunchAgents文件夹中安装一个.system或.service文件扩展名的持久性代理,然后才开始它们的攻击。
当用户登录时,该持久性代理会执行一个隐藏在同一用户的~/Library/Application Support/文件夹中的二进制文件。然而Application Support中的那个文件夹又包含了另一个名为/Services/的目录。
该捆绑文件会包含一个具有相同名称的可执行文件。斯托克斯说,还有一个名为.logg的隐藏跟踪文件,其中包含了受害者的通用唯一标识符(UUID),它也包含在Application Support文件夹中。
他指出,这些程序是被混淆加密的Zsh脚本,在攻击的最后从/tmp目录中执行恶意软件(一个shell脚本)之前,会进行一系列的解包。其中许多是经过签名或公证的。
斯托克斯说:"通常情况下,我们会观察到,在VirusTotal上观察到样本的几天内(有时是几小时),用于签署droppers的开发者证书会被苹果公司撤销,然后苹果公司会通过Gatekeeper和OCSP签名检查,来提供一些临时的保护,防止这些特定的签名样本进一步感染,另外,我们通常看到在几小时或几天内就会出现用新证书签名的新样本。真的,这就像是玩打地鼠游戏"。
在任何情况下,最终的有效载荷并不为当前版本的苹果XProtect v2149所知。
利用苹果的XProtect的漏洞
SentinelLabs的研究人员观察到最新的AdLoader样本早在去年11月就开始在攻击活动中使用,但直到今年夏天,特别是7月和8月,攻击的样本数量才开始急剧上升。
斯托克斯说:"当然,恶意软件开发者似乎在大量利用XProtect的漏洞进行攻击,在撰写本报告时,XProtect最后一次更新到2149版本是在6月15-18日左右,该恶意软件在VirusTotal的检测率的确很高。一个著名的广告软件变体的数百个独特样本已经流通了至少10个月,但仍未被苹果公司的内置恶意软件扫描器检测到,这一事实表明在Mac设备上很有必要进一步增加终端的安全控制。"
本文翻译自:https://threatpost.com/adload-malware-apple-xprotect/168634/如若转载,请注明原文地址。