研究人員說(shuō)，MacOS設(shè)備中的AdLoad惡意軟件繞過(guò)了蘋(píng)果設(shè)備上的惡意軟件掃描器。該攻擊活動(dòng)使用了大約150個(gè)獨(dú)特的樣本，其中一些是由蘋(píng)果公司的公證服務(wù)簽署的。

AdLoad是一個(gè)著名的蘋(píng)果攻擊軟件，已經(jīng)出現(xiàn)了很多年。它本質(zhì)上就是一個(gè)特洛伊木馬，它會(huì)在受感染的系統(tǒng)上打開(kāi)一個(gè)后門(mén)，下載和安裝廣告軟件或客戶(hù)所不需要的程序(PUPs)。它還能夠收集和傳輸受害者的機(jī)器信息，如用戶(hù)名和計(jì)算機(jī)名稱(chēng)。它還會(huì)劫持搜索引擎的搜索結(jié)果，并在網(wǎng)頁(yè)中注入大量廣告。

該軟件最近改變了攻擊戰(zhàn)術(shù)，更新了一個(gè)新的功能來(lái)逃避主機(jī)上的安全軟件。

SentinelOne公司的研究員Phil Stokes在周三的一篇文章中說(shuō)："今年我們發(fā)現(xiàn)了該軟件的一個(gè)新的版本，可以感染那些僅僅使用蘋(píng)果內(nèi)置安全控件XProtect檢測(cè)惡意軟件的Mac用戶(hù)。Xprotect標(biāo)記了AdLoad大約11個(gè)不同的簽名，但在此次新的攻擊活動(dòng)中使用的變體卻沒(méi)有被這些規(guī)則檢測(cè)到。”

AdLoad感染程序

2021年的AdLoad變種出現(xiàn)了一種新的感染方法。首先，根據(jù)斯托克斯的技術(shù)分析，它們?cè)谟脩?hù)的Library LaunchAgents文件夾中安裝一個(gè).system或.service文件擴(kuò)展名的持久性代理，然后才開(kāi)始它們的攻擊。

當(dāng)用戶(hù)登錄時(shí)，該持久性代理會(huì)執(zhí)行一個(gè)隱藏在同一用戶(hù)的~/Library/Application Support/文件夾中的二進(jìn)制文件。然而Application Support中的那個(gè)文件夾又包含了另一個(gè)名為/Services/的目錄。

該捆綁文件會(huì)包含一個(gè)具有相同名稱(chēng)的可執(zhí)行文件。斯托克斯說(shuō)，還有一個(gè)名為.logg的隱藏跟蹤文件，其中包含了受害者的通用唯一標(biāo)識(shí)符(UUID)，它也包含在Application Support文件夾中。

他指出，這些程序是被混淆加密的Zsh腳本，在攻擊的最后從/tmp目錄中執(zhí)行惡意軟件(一個(gè)shell腳本)之前，會(huì)進(jìn)行一系列的解包。其中許多是經(jīng)過(guò)簽名或公證的。

斯托克斯說(shuō)："通常情況下，我們會(huì)觀察到，在VirusTotal上觀察到樣本的幾天內(nèi)(有時(shí)是幾小時(shí))，用于簽署droppers的開(kāi)發(fā)者證書(shū)會(huì)被蘋(píng)果公司撤銷(xiāo)，然后蘋(píng)果公司會(huì)通過(guò)Gatekeeper和OCSP簽名檢查，來(lái)提供一些臨時(shí)的保護(hù)，防止這些特定的簽名樣本進(jìn)一步感染，另外，我們通?？吹皆趲仔r(shí)或幾天內(nèi)就會(huì)出現(xiàn)用新證書(shū)簽名的新樣本。真的，這就像是玩打地鼠游戲"。

在任何情況下，最終的有效載荷并不為當(dāng)前版本的蘋(píng)果XProtect v2149所知。

利用蘋(píng)果的XProtect的漏洞

SentinelLabs的研究人員觀察到最新的AdLoader樣本早在去年11月就開(kāi)始在攻擊活動(dòng)中使用，但直到今年夏天，特別是7月和8月，攻擊的樣本數(shù)量才開(kāi)始急劇上升。

斯托克斯說(shuō)："當(dāng)然，惡意軟件開(kāi)發(fā)者似乎在大量利用XProtect的漏洞進(jìn)行攻擊，在撰寫(xiě)本報(bào)告時(shí)，XProtect最后一次更新到2149版本是在6月15-18日左右，該惡意軟件在VirusTotal的檢測(cè)率的確很高。一個(gè)著名的廣告軟件變體的數(shù)百個(gè)獨(dú)特樣本已經(jīng)流通了至少10個(gè)月，但仍未被蘋(píng)果公司的內(nèi)置惡意軟件掃描器檢測(cè)到，這一事實(shí)表明在Mac設(shè)備上很有必要進(jìn)一步增加終端的安全控制。"

本文翻譯自：https://threatpost.com/adload-malware-apple-xprotect/168634/如若轉(zhuǎn)載，請(qǐng)注明原文地址。