SentinelLabs har släppt en ny rapport om upptäckten av en ny adware -kampanj som riktar sig till Apple.
Efter att ha identifierat AdLoad som en adware- och bundleware-lastare som för närvarande drabbar macOS 2019, sa cybersäkerhetsföretaget att det har sett 150 nya prover av adware som de hävdar “förblir oupptäckta av Apples skadliga programvara på enheten.” Några av proverna till och med noterades av Apple, enligt rapporten.
Apple använder XProtect -säkerhetssystemet för att upptäcka skadlig programvara på alla Mac -datorer och skapade ursprungligen ett skyddssystem mot AdLoad, som har flyttat runt på internet sedan minst 2017, enligt rapporten.
XProtect har nu cirka 11 olika signaturer för AdLoad, varav några täcker 2019 -versionen av adware SentinelLabs som hittades det året. Men den senaste upptäckta kampanjen skyddas inte av något i XProtect, enligt företaget.
“År 2019 inkluderade det mönstret en kombination av orden” Sök “,” Resultat “och” Daemon “, som i exemplet som visas ovan:” ElementarySignalSearchDaemon. ” Många andra exempel kan hittas här. 2021 -varianten använder ett annat mönster som i första hand bygger på ett filtillägg som antingen är .system eller .service “, förklarade forskarna.
“Vilket filtillägg som används beror på platsen för den tappade uthållighetsfilen och körbar enligt beskrivningen nedan, men vanligtvis finns både .system- och .service -filer på samma infekterade enhet om användaren gav behörigheter till installationsprogrammet.”
Cirka 50 olika etikettmönster har upptäckts av forskarna och de fann att dropparna som används delar samma mönster som Bundlore/Shlayer -droppare.
“De använder en falsk Player.app monterad i en DMG. Många är signerade med en giltig signatur; i vissa fall har de till och med varit kända för att vara notariserade”, står det i rapporten.
“Normalt observerar vi att utvecklarcertifikat som används för att underteckna dropparna återkallas av Apple inom några dagar (ibland timmar) efter att prover har observerats på VirusTotal, vilket ger vissa försenade och tillfälliga skydd mot ytterligare infektioner av de specifika signerade proverna med hjälp av Gatekeeper- och OCSP-signaturkontroller. Vanligtvis ser vi också att nya prover är signerade med färska certifikat som dyker upp inom några timmar och dagar. Det är verkligen ett spel med whack-a-mol. ”
SentinelLabs citerar forskning från analytiker på Confiant som bekräftar att prover i naturen har noterats av Apple.
Proverna började växa fram i november 2020 och blev mer framträdande 2021. Det blev en ännu kraftigare ökning i juli och augusti när fler angripare försöker dra nytta av XProtect -luckor innan de stängs.
XProtects senaste uppdatering var den 18 juni, enligt SentinelLabs. Apple svarade inte på begäran om kommentar.
Trots bristen på skydd från XProtect har andra leverantörer system för att upptäcka skadlig programvara.
“Som Apple själv har noterat och vi beskrev någon annanstans är skadlig programvara på macOS ett problem som tillverkaren av enheter kämpar med”, står det i rapporten.
“Det faktum att hundratals unika prover av en välkänd adware-variant har cirkulerat i minst 10 månader och ändå är oupptäckta av Apples inbyggda malware-skanner visar att det är nödvändigt att lägga till ytterligare slutpunktssäkerhetskontroller till Mac-enheter.” < /p>
Säkerhet
Kaseya ransomware attack: Vad du behöver veta Surfshark VPN recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN: erna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar till fler attacker (ZDNet YouTube)
Relaterade ämnen :
Apple Security TV Datahantering CXO-datacenter 