Variante de AdLoad evita las defensas de seguridad de Apple

Una nueva ola de ataques que involucran a una notoria familia de adware macOS ha evolucionado para aprovechar alrededor de 150 muestras únicas en la naturaleza solo en 2021, algunas de las cuales han pasado por alto el escáner de malware en el dispositivo de Apple e incluso están firmadas por su propio servicio de notarización, destacando los maliciosos. el software intenta adaptarse y evadir la detección.

"AdLoad", como se conoce al malware, es uno de los varios cargadores de paquetes y programas publicitarios generalizados que se dirigen a macOS desde al menos 2017. Es capaz de ejecutar una puerta trasera en un sistema afectado para descargar e instalar programas publicitarios o potencialmente no deseados (PUP), así como acumular y transmitir información sobre las máquinas víctimas.

La nueva iteración "continúa impactando a los usuarios de Mac que dependen únicamente del control de seguridad integrado XProtect de Apple para la detección de malware", dijo Phil Stokes, investigador de amenazas de SentinelOne , en un análisis publicado la semana pasada. "A día de hoy, sin embargo, se podría decir que XProtect tiene alrededor de 11 firmas diferentes para AdLoad [pero] la variante utilizada en esta nueva campaña no es detectada por ninguna de esas reglas".

La versión 2021 de AdLoad se adhiere a los nombres de persistencia y ejecutables que usan un patrón de extensión de archivo diferente (.system o .service), lo que permite que el malware evite las protecciones de seguridad adicionales incorporadas por Apple, lo que finalmente da como resultado la instalación de un agente de persistencia. lo que, a su vez, desencadena una cadena de ataque para implementar goteros maliciosos que se hacen pasar por una aplicación No tienes permitido ver los links. Registrarse o Entrar a mi cuenta falsa para instalar malware.


Además, los cuentagotas están firmados con una firma válida que utiliza certificados de desarrollador, lo que hace que Apple revoque los certificados "en cuestión de días (a veces horas) desde que se observan las muestras en VirusTotal, lo que ofrece una protección tardía y temporal contra futuras infecciones por parte de aquellos en particular. muestras firmadas mediante comprobaciones de firmas Gatekeeper y OCSP ", señaló Stokes.

SentinelOne dijo que detectó nuevas muestras firmadas con certificados nuevos en un par de horas y días, calificándolo de "juego de golpear un topo". Se dice que las primeras muestras de AdLoad aparecieron ya en noviembre de 2020, con más ocurrencias regulares durante la primera mitad de 2021, seguidas de un fuerte repunte a lo largo de julio y, en particular, las primeras semanas de agosto de 2021.

AdLoad se encuentra entre las familias de malware, junto con Shlayer, que se sabe que pasa por alto XProtect e infecta Mac con otras cargas útiles maliciosas. En abril de 2021, Apple abordó una falla de día cero explotada activamente en su servicio Gatekeeper ( CVE-2021-30657 ) que fue abusada por los operadores de Shlayer para implementar software no aprobado en los sistemas comprometidos.

"El malware en macOS es un problema que el fabricante del dispositivo está luchando por resolver", dijo Stokes. "El hecho de que cientos de muestras únicas de una variante de adware conocida hayan estado circulando durante al menos 10 meses y, sin embargo, sigan sin ser detectadas por el escáner de malware integrado de Apple demuestra la necesidad de agregar más controles de seguridad de endpoints a los dispositivos Mac".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta