SentinelLabs har frigivet en ny rapport om opdagelsen af en ny adware -kampagne, der er målrettet Apple.
Efter at have identificeret AdLoad som en adware og bundleware loader, der i øjeblikket rammer macOS i 2019, sagde cybersikkerhedsfirmaet, at det har set 150 nye prøver af adware, som de hævder “forbliver uopdaget af Apples on-device malware scanner.” Nogle af prøverne blev endda notariseret af Apple, ifølge rapporten.
Apple bruger XProtect -sikkerhedssystemet til at opdage malware på alle Mac'er og oprettede oprindeligt et beskyttelsesprogram mod AdLoad, som har svævet rundt på internettet siden mindst 2017, ifølge rapporten.
XProtect har nu omkring 11 forskellige signaturer til AdLoad, hvoraf nogle dækker 2019 -versionen af adware SentinelLabs fundet det år. Men den seneste opdagede kampagne er ifølge virksomheden ikke beskyttet af noget i XProtect.
“I 2019 inkluderede dette mønster en kombination af ordene 'Søg', 'Resultat' og 'Daemon', som i eksemplet vist ovenfor: 'ElementarySignalSearchDaemon.' Mange andre eksempler kan findes her. 2021 -varianten bruger et andet mønster, der primært er baseret på en filtypenavn, der enten er .system eller .service, “forklarede forskerne.
“Hvilken filudvidelse der bruges, afhænger af placeringen af den tabte persistensfil og eksekverbare som beskrevet nedenfor, men typisk findes både .system- og .service -filer på den samme inficerede enhed, hvis brugeren gav privilegier til installationsprogrammet.”
Omkring 50 forskellige etiketmønstre er blevet opdaget af forskerne, og de fandt ud af, at de anvendte droppere deler det samme mønster som Bundlore/Shlayer -droppere.
“De bruger en falsk Player.app monteret i en DMG. Mange er underskrevet med en gyldig signatur; i nogle tilfælde har de endda været kendt for at være notariseret,” hedder det i rapporten.
“Normalt observerer vi, at udviklercertifikater, der bruges til at underskrive dropperne, tilbagekaldes af Apple inden for få dage (nogle gange timer), efter at prøver er blevet observeret på VirusTotal, hvilket giver en vis forsinket og midlertidig beskyttelse mod yderligere infektioner af de pågældende signerede prøver ved hjælp af Gatekeeper og OCSP signaturkontrol. Typisk ser vi også nye prøver underskrevet med friske certifikater, der vises inden for få timer og dage. Virkelig, det er et spil whack-a-mol. ”
SentinelLabs citerer forskning fra analytikere hos Confiant, der bekræfter, at prøver i naturen er blevet notariseret af Apple.
Prøverne begyndte at dukke op i november 2020 og blev mere fremtrædende i 2021. Der var en endnu skarpere stigning i juli og august, da flere angribere forsøger at udnytte XProtect's huller, før de lukkes.
XProtects sidste opdatering var den 18. juni ifølge SentinelLabs. Apple reagerede ikke på anmodninger om kommentarer.
På trods af den manglende beskyttelse fra XProtect har andre leverandører systemer til at opdage malware.
“Som Apple selv har bemærket, og vi beskrev andre steder, er malware på macOS et problem, som enhedsproducenten kæmper med at klare,” hedder det i rapporten.
“Det faktum, at hundredvis af unikke prøver af en velkendt adware-variant har cirkuleret i mindst 10 måneder og alligevel stadig er uopdaget af Apples indbyggede malware-scanner, viser nødvendigheden af at tilføje yderligere endepunktssikkerhedskontroller til Mac-enheder.” < /p>
Sikkerhed
Kaseya ransomware -angreb: Hvad du har brug for at vide Surfshark VPN -anmeldelse: Det er billigt, men er det godt? De bedste browsere til beskyttelse af fortrolige oplysninger Cybersikkerhed 101: Beskyt dit privatliv Den bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
Apple Security TV Data Management CXO-datacentre 