Новый вариант вредоносного ПО AdLoad проскальзывает через защиту Apple XProtect

39
Австралийский банк содружества высмеивает заявление Apple о

Новый вариант вредоносного ПО AdLoad проскальзывает через встроенную антивирусную технологию XProtect на основе сигнатур Apple YARA для заражения компьютеров Mac в рамках нескольких кампаний, отслеживаемых американской фирмой по кибербезопасности SentinelOne.

AdLoad – это широко распространенный троян, нацеленный на платформу macOS, по крайней мере, с конца 2017 года и используемый для развертывания различных вредоносных нагрузок, включая рекламное ПО и потенциально нежелательные приложения (PUA),

Эта вредоносная программа также может собирать системную информацию, которая позже отправляется на удаленные серверы, контролируемые ее операторами.

Активно с июля

По словам исследователя угроз SentinelOne Фила Стоукса , эти массовые и продолжающиеся атаки начались уже в ноябре 2020 года, а с июля по начало августа их активность возросла.

После заражения Mac AdLoad установит веб-прокси Man-in-The-Middle (MiTM) для перехвата результатов поисковых систем и внедрения рекламы на веб-страницы с целью получения денежной выгоды.

Он также будет работать на зараженных Mac, установив LaunchAgents и LaunchDaemons, а в некоторых случаях – пользовательские cronjobs, которые запускаются каждые два с половиной часа.

В ходе мониторинга этой кампании исследователь обнаружил более 220 образцов, 150 из которых уникальны и не обнаруживаются встроенным антивирусом Apple, хотя XProtect теперь поставляется с примерно дюжиной сигнатур AdLoad.

Многие из образцов, обнаруженных SentinelOne, также подписаны действительными сертификатами Developer ID, выпущенными Apple, в то время как другие также нотариально заверены для запуска с настройками Gatekeeper по умолчанию.

«На момент написания XProtect последний раз обновлялся около 15 июня. Ни один из найденных нами образцов не известен XProtect, поскольку они не соответствуют ни одному из текущих правил Adload сканера», – заключил Стоукс.

«Тот факт, что сотни уникальных образцов широко известного варианта рекламного ПО циркулировали в течение как минимум 10 месяцев, но до сих пор не обнаруживаются встроенным сканером вредоносных программ Apple, демонстрирует необходимость добавления дополнительных средств контроля безопасности конечных точек на устройства Mac».

Трудно игнорировать угрозу

Для сравнения: Shlayer, еще один распространенный штамм вредоносного ПО для macOS, который раньше также мог обходить XProtect и заражать Mac другими вредоносными программами, поразил более 10% всех компьютеров Apple, отслеживаемых Kaspersky.

Его создатели также получили свое вредоносное ПО через автоматизированный процесс нотариального заверения Apple и включили возможность отключения механизма защиты Gatekeeper для запуска неподписанных полезных нагрузок второго уровня.

Шлайер также недавно использовал macOS нулевого дня, чтобы обойти проверки безопасности Apple File Quarantine, Gatekeeper и Notarization и загрузить вредоносные полезные данные второго уровня на скомпрометированные Mac.

Хотя и AdLoad, и Shlayer теперь развертывают только рекламное ПО и пакетное ПО в качестве дополнительных полезных нагрузок, их создатели могут в любой момент быстро переключиться на более опасные вредоносные программы, включая программы-вымогатели или очистители.

«Сегодня у нас есть уровень вредоносного ПО на Mac, который мы не считаем приемлемым и который намного хуже, чем iOS», – сказал Крейг Федериги, глава отдела программного обеспечения Apple, под присягой, давая показания в суде Epic Games vs. Apple в Май.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here