SentinelLabs ha rilasciato un nuovo rapporto sulla scoperta di una nuova campagna adware mirata ad Apple.
Dopo aver identificato AdLoad come un caricatore di adware e bundleware che attualmente affligge macOS nel 2019, la società di sicurezza informatica ha affermato di aver visto 150 nuovi campioni dell'adware che affermano “rimangono non rilevati dallo scanner di malware sul dispositivo di Apple”. Alcuni dei campioni sono stati persino autenticati da Apple, secondo il rapporto.
Apple utilizza il sistema di sicurezza XProtect per rilevare malware su tutti i Mac e originariamente ha creato uno schema di protezione contro AdLoad, che è circolato su Internet da allora almeno nel 2017, secondo il rapporto.
XProtect ora ha circa 11 diverse firme per AdLoad, alcune delle quali coprono la versione 2019 dell'adware SentinelLabs trovato quell'anno. Ma l'ultima campagna scoperta non è protetta da nulla in XProtect, secondo la società.
“Nel 2019, quel modello includeva una combinazione delle parole “Cerca”, “Risultato” e “Daemon”, come nell'esempio mostrato sopra: “ElementarySignalSearchDaemon”. Molti altri esempi possono essere trovati qui. La variante 2021 utilizza un modello diverso che si basa principalmente su un'estensione di file che è .system o .service”, hanno spiegato i ricercatori.
“Quale estensione di file viene utilizzata dipende dalla posizione del file di persistenza rilasciato e dell'eseguibile come descritto di seguito, ma in genere entrambi i file .system e .service verranno trovati sullo stesso dispositivo infetto se l'utente ha concesso i privilegi al programma di installazione.”
I ricercatori hanno scoperto circa 50 diversi modelli di etichette e hanno scoperto che i contagocce utilizzati condividono lo stesso modello dei contagocce Bundlore/Shlayer.
“Usano un falso Player.app montato in un DMG. Molti sono firmati con una firma valida; in alcuni casi, sono stati persino conosciuti per essere autenticati”, afferma il rapporto.
“In genere, osserviamo che i certificati degli sviluppatori utilizzati per firmare i contagocce vengono revocati da Apple entro pochi giorni (a volte ore) dall'osservazione dei campioni su VirusTotal, offrendo una protezione tardiva e temporanea contro ulteriori infezioni da parte di quei particolari campioni firmati per mezzo di Controlli della firma di Gatekeeper e OCSP. Inoltre, in genere, vediamo nuovi campioni firmati con nuovi certificati che compaiono nel giro di poche ore e giorni. In verità, è un gioco da ragazzi”.
SentinelLabs cita una ricerca degli analisti di Confiant che conferma che i campioni in natura sono stati autenticati da Apple.
I campioni hanno iniziato a spuntare nel novembre 2020 e sono diventati più importanti nel 2021. C'è stato un aumento ancora più netto a luglio e agosto poiché più aggressori cercano di sfruttare le lacune di XProtect prima che vengano chiuse.
L'ultimo aggiornamento di XProtect è stato il 18 giugno, secondo SentinelLabs. Apple non ha risposto alle richieste di commento.
Nonostante la mancanza di protezione da XProtect, altri fornitori dispongono di sistemi per rilevare il malware.
“Come Apple stessa ha notato e abbiamo descritto altrove, il malware su macOS è un problema che il produttore del dispositivo sta lottando per affrontare”, afferma il rapporto.
“Il fatto che centinaia di campioni unici di una nota variante di adware circolano da almeno 10 mesi e non vengono ancora rilevati dallo scanner di malware integrato di Apple dimostra la necessità di aggiungere ulteriori controlli di sicurezza degli endpoint ai dispositivi Mac.”< /p>
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere Recensione di Surfshark VPN: è economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Data Center CXO per la gestione dei dati di Apple Security TV 