SentinelLabs a publié un nouveau rapport sur la découverte d'une nouvelle campagne de logiciels publicitaires ciblant Apple.
Après avoir identifié AdLoad comme un chargeur de logiciels publicitaires et de bundles affectant actuellement macOS en 2019, la société de cybersécurité a déclaré avoir vu 150 nouveaux échantillons du logiciel publicitaire qui, selon elle, “ne sont pas détectés par le scanner de logiciels malveillants sur l'appareil d'Apple”. Certains des échantillons ont même été notariés par Apple, selon le rapport.
Apple utilise le système de sécurité XProtect pour détecter les logiciels malveillants sur tous les Mac et a initialement créé un système de protection contre AdLoad, qui circule sur Internet depuis au moins 2017, selon le rapport.
XProtect dispose désormais d'environ 11 signatures différentes pour AdLoad, dont certaines couvrent la version 2019 du logiciel publicitaire SentinelLabs trouvé cette année-là. Mais la dernière campagne découverte n'est protégée par rien dans XProtect, selon la société.
“En 2019, ce modèle incluait une combinaison des mots “Recherche”, “Résultat” et “Démon”, comme dans l'exemple ci-dessus : “ElementarySignalSearchDaemon”. De nombreux autres exemples peuvent être trouvés ici. La variante 2021 utilise un modèle différent qui repose principalement sur une extension de fichier .system ou .service », ont expliqué les chercheurs.
“L'extension de fichier utilisée dépend de l'emplacement du fichier de persistance déposé et de l'exécutable comme décrit ci-dessous, mais généralement les fichiers .system et .service seront trouvés sur le même périphérique infecté si l'utilisateur a accordé des privilèges au programme d'installation.”
Environ 50 modèles d'étiquettes différents ont été découverts par les chercheurs et ils ont découvert que les compte-gouttes utilisés partagent le même modèle que les compte-gouttes Bundlore/Shlayer.
“Ils utilisent un faux Player.app monté dans un DMG. Beaucoup sont signés avec une signature valide ; dans certains cas, ils sont même connus pour être notariés”, indique le rapport.
“En règle générale, nous observons que les certificats de développeur utilisés pour signer les compte-gouttes sont révoqués par Apple quelques jours (parfois des heures) après l'observation des échantillons sur VirusTotal, offrant une protection tardive et temporaire contre d'autres infections par ces échantillons signés particuliers au moyen de Contrôles de signature Gatekeeper et OCSP. En général, nous voyons également de nouveaux échantillons signés avec de nouveaux certificats apparaître en quelques heures et jours. Vraiment, c'est un jeu de cogner. ”
SentinelLabs cite des recherches d'analystes de Confiant confirmant que des échantillons dans la nature ont été notariés par Apple.
Les échantillons ont commencé à apparaître en novembre 2020 et sont devenus plus importants en 2021. Il y a eu une augmentation encore plus marquée en juillet et août, car de plus en plus d'attaquants tentent de profiter des lacunes de XProtect avant qu'elles ne soient fermées.
La dernière mise à jour de XProtect a eu lieu le 18 juin, selon SentinelLabs. Apple n'a pas répondu aux demandes de commentaires.
Malgré le manque de protection de XProtect, d'autres fournisseurs disposent de systèmes pour détecter le malware.
“Comme Apple lui-même l'a noté et nous l'avons décrit ailleurs, les logiciels malveillants sur macOS sont un problème auquel le fabricant de l'appareil a du mal à faire face”, indique le rapport.
“Le fait que des centaines d'échantillons uniques d'une variante de logiciel publicitaire bien connue circulent depuis au moins 10 mois et ne soient toujours pas détectés par le scanner de logiciels malveillants intégré d'Apple démontre la nécessité d'ajouter des contrôles de sécurité supplémentaires aux appareils Mac.”< /p>
Sécurité
Attaque par ransomware Kaseya : ce que vous devez savoir Avis Surfshark VPN : c'est bon marché, mais est-ce bon ? Les meilleurs navigateurs pour la confidentialité Cybersécurité 101 : protégez votre vie privée Les meilleurs logiciels et applications antivirus Les meilleurs VPN pour les entreprises et les particuliers Les meilleures clés de sécurité pour 2FA Comment les victimes qui paient la rançon encouragent davantage d'attaques (ZDNet YouTube)
Sujets connexes :
Apple Security TV Data Management CXO Data Centers 