SentinelLabs heeft een nieuw rapport uitgebracht over de ontdekking van een nieuwe adware-campagne gericht op Apple.
Na het identificeren van AdLoad als een adware- en bundelware-lader die momenteel macOS teistert in 2019, zei het cyberbeveiligingsbedrijf dat het 150 nieuwe voorbeelden van de adware heeft gezien die volgens hen “onopgemerkt blijven door de malwarescanner op het apparaat van Apple”. Volgens het rapport zijn sommige van de voorbeelden zelfs door Apple bekrachtigd.
Apple gebruikt het XProtect-beveiligingssysteem om malware op alle Macs te detecteren en heeft oorspronkelijk een beschermingsplan gemaakt tegen AdLoad, dat sindsdien op internet is rondgezworven. tenminste 2017, volgens het rapport.
XProtect heeft nu ongeveer 11 verschillende handtekeningen voor AdLoad, waarvan sommige betrekking hebben op de 2019-versie van de adware die SentinelLabs dat jaar vond. Maar volgens het bedrijf wordt de laatst ontdekte campagne door niets in XProtect beschermd.
“In 2019 bevatte dat patroon een combinatie van de woorden 'Zoeken', 'Resultaat' en 'Daemon', zoals in het bovenstaande voorbeeld: 'ElementarySignalSearchDaemon.' Veel andere voorbeelden zijn hier te vinden. De 2021-variant gebruikt een ander patroon dat voornamelijk afhankelijk is van een bestandsextensie die .system of .service is”, leggen de onderzoekers uit.
“Welke bestandsextensie wordt gebruikt, hangt af van de locatie van het gedropte persistentiebestand en het uitvoerbare bestand zoals hieronder beschreven, maar meestal zullen zowel .system- als .service-bestanden op hetzelfde geïnfecteerde apparaat worden gevonden als de gebruiker privileges heeft gegeven aan het installatieprogramma.”
Ongeveer 50 verschillende labelpatronen zijn ontdekt door de onderzoekers en ze ontdekten dat de gebruikte druppelaars hetzelfde patroon delen als Bundlore/Shlayer-druppelaars.
“Ze gebruiken een nep Player.app die in een DMG is gemonteerd. Velen zijn ondertekend met een geldige handtekening; in sommige gevallen is het zelfs bekend dat ze notarieel zijn vastgelegd”, aldus het rapport.
“Normaal zien we dat ontwikkelaarscertificaten die zijn gebruikt om de droppers te ondertekenen, door Apple worden ingetrokken binnen een paar dagen (soms uren) nadat monsters zijn waargenomen op VirusTotal, wat enige late en tijdelijke bescherming biedt tegen verdere infecties door die specifieke ondertekende monsters door middel van Gatekeeper- en OCSP-handtekeningcontroles. Ook zien we meestal nieuwe voorbeelden die zijn ondertekend met nieuwe certificaten binnen enkele uren en dagen verschijnen. Het is echt een spel van mep.”
SentinelLabs citeert onderzoek van analisten bij Confiant dat bevestigt dat monsters in het wild door Apple zijn bekrachtigd.
De voorbeelden begonnen in november 2020 op te duiken en werden prominenter in 2021. Er was een nog scherpere stijging in juli en augustus toen meer aanvallers probeerden te profiteren van de gaten van XProtect voordat ze werden gedicht.
Volgens SentinelLabs was de laatste update van XProtect op 18 juni. Apple heeft niet gereageerd op verzoeken om commentaar.
Ondanks het gebrek aan bescherming door XProtect, hebben andere leveranciers wel systemen om de malware te detecteren.
“Zoals Apple zelf heeft opgemerkt en we elders hebben beschreven, is malware op macOS een probleem waar de fabrikant van het apparaat mee worstelt”, aldus het rapport.
“Het feit dat honderden unieke voorbeelden van een bekende adware-variant al minstens 10 maanden in omloop zijn en toch onopgemerkt blijven door de ingebouwde malwarescanner van Apple, toont de noodzaak aan om verdere beveiligingscontroles voor eindpunten toe te voegen aan Mac-apparaten.”< /p>
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN-beoordeling: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Apple Security TV Data Management CXO Datacenters 