< 返回新闻公共列表

新的 AdLoad 变体绕过 Apple 的安全防御措施,以 macOS 系统为目标

发布时间:2021-08-18 10:31:55

code.jpg

2021 年,macOS 广告软件系列的新一波攻击已经发展到利用大约 150 个独特的样本,其中一些已经绕过了 Apple 的设备上恶意软件扫描程序,甚至由其自己的公证服务签名,突出了恶意软件不断尝试适应和逃避检测。

2021 版 AdLoad 锁定使用不同文件扩展名模式(.system 或 .service)的持久性和可执行名称,使恶意软件能够绕过 Apple 整合的额外安全保护,最终导致安装持久性代理,反过来,这会触发攻击链以部署伪装成虚假 Player.app 的恶意投放器来安装恶意软件。
“AdLoad”,正如已知的恶意软件,是自 2017 年以来针对 macOS 的几种广泛使用的广告软件和捆绑软件加载程序之一,它能够后门受影响的系统下载和安装广告软件或潜在有害程序 (PUP),以及收集和传输有关受害机器的信息。

更重要的是,将滴管签署使用开发者证书具有有效的签名,促使苹果吊销证书“关于VirusTotal被观察的样本天(有时小时)的问题中,由这些特定的提供防止进一步感染,一些迟来的和临时的保护通过 Gatekeeper 和 OCSP 签名检查对样本进行签名,”Stokes 指出。

SentinelOne 表示,它在几个小时和几天内检测到用新证书签名的新样本,称其为“打地鼠游戏”。据说 AdLoad 的第一个样本最早于 2020 年 11 月出现,在 2021 年上半年定期出现,随后在整个 7 月,特别是 2021 年 8 月的前几周急剧上升。

AdLoad 与 Shlayer 一起属于恶意软件家族,众所周知,它可以绕过 XProtect 并使用其他恶意负载感染 Mac。2021 年 4 月,Apple 解决了其 Gatekeeper 服务 ( CVE-2021-30657 ) 中一个被积极利用的零日漏洞,Shlayer 运营商滥用该漏洞在 Mac 上部署未经批准的软件。

Stokes 说:“macOS 上的恶意软件是设备制造商正在努力应对的一个问题,数百个知名广告软件变种的独特样本已经传播了至少 10 个月,但仍未被 Apple 的内置恶意软件扫描程序检测到。这一事实表明,有必要为 Mac 设备添加进一步的端点安全控制。”



Myasiacloud亞洲雲海

網路安全防禦專家

亞太高防資源 無上限防禦DDos/CC攻擊!!

全球優質節點  中國大陸全境加速 海外加速

詳情訪問 https://www.myasiacloud.com/clouddf   

官方客服聯絡@myasiacloud66



/template/Home/Zkeys2/PC/Static