SentinelLabs har gitt ut en ny rapport om oppdagelsen av en ny adware -kampanje rettet mot Apple.
Etter å ha identifisert AdLoad som en adware og bundleware loader som for tiden rammer macOS i 2019, sa cybersikkerhetsfirmaet at det har sett 150 nye prøver av adware som de hevder “forblir uoppdaget av Apples on-malware malware-skanner.” Noen av prøvene ble til og med notarisert av Apple, ifølge rapporten.
Apple bruker XProtect -sikkerhetssystemet til å oppdage skadelig programvare på alle Mac -maskiner og opprettet opprinnelig et beskyttelsesopplegg mot AdLoad, som har flydd rundt på internett siden minst 2017, ifølge rapporten.
XProtect har nå omtrent 11 forskjellige signaturer for AdLoad, hvorav noen dekker 2019 -versjonen av adware SentinelLabs som ble funnet det året. Men den siste oppdagede kampanjen er ikke beskyttet av noe i XProtect, ifølge selskapet.
“I 2019 inkluderte dette mønsteret en kombinasjon av ordene” Søk “,” Resultat “og” Daemon “, som i eksemplet vist ovenfor: 'ElementarySignalSearchDaemon.' Mange andre eksempler kan bli funnet her. 2021 -varianten bruker et annet mønster som først og fremst er avhengig av en filtillegg som enten er .system eller .service, “forklarte forskerne.
“Hvilken filtype som brukes, avhenger av plasseringen av den nedlagte persistensfilen og kjørbar som beskrevet nedenfor, men vanligvis vil både .system- og .service -filer bli funnet på den samme infiserte enheten hvis brukeren ga rettigheter til installasjonsprogrammet.”
Omtrent 50 forskjellige etikettmønstre har blitt oppdaget av forskerne, og de fant at dropperne som ble brukt deler samme mønster som Bundlore/Shlayer -droppere.
“De bruker en falsk Player.app montert i en DMG. Mange er signert med en gyldig signatur; i noen tilfeller har de til og med vært kjent for å være notarized,” heter det i rapporten.
“Vanligvis observerer vi at utviklersertifikater som brukes til å signere dropperne, tilbakekalles av Apple i løpet av noen dager (noen ganger timer) etter at prøver ble observert på VirusTotal, noe som gir noen forsinket og midlertidig beskyttelse mot ytterligere infeksjoner av de signerte prøvene ved hjelp av Gatekeeper- og OCSP-signaturkontroller. Vi ser vanligvis også at nye prøver signert med ferske sertifikater dukker opp i løpet av timer og dager. Virkelig, det er et slag whack-a-mol. ”
SentinelLabs siterer forskning fra analytikere på Confiant som bekrefter at prøver i naturen er blitt notarisert av Apple.
Prøvene begynte å dukke opp i november 2020 og ble mer fremtredende i 2021. Det ble en enda skarpere stigning i juli og august etter hvert som flere angripere prøver å dra fordel av XProtect -hullene før de lukkes.
XProtects siste oppdatering var 18. juni, ifølge SentinelLabs. Apple svarte ikke på forespørsler om kommentar.
Til tross for mangel på beskyttelse fra XProtect, har andre leverandører systemer for å oppdage skadelig programvare.
“Som Apple selv har notert og vi beskrev andre steder, er skadelig programvare på macOS et problem som enhetsprodusenten sliter med å takle,” heter det i rapporten.
“Det faktum at hundrevis av unike eksempler på en velkjent adware-variant har sirkulert i minst 10 måneder og likevel ikke er oppdaget av Apples innebygde malware-skanner, viser nødvendigheten av å legge til ytterligere sikkerhetskontroller for endepunkter til Mac-enheter.” < /p>
Sikkerhet
Kaseya ransomware -angrep: Det du trenger å vite Surfshark VPN -anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cyber security 101: Beskytt personvernet ditt Den beste antivirusprogramvaren og appene De beste VPN -ene for forretninger og hjemmebruk De beste sikkerhetsnøklene for 2FA Hvordan ofre som betaler løsepenger oppfordrer til flere angrep (ZDNet YouTube)
Relaterte emner :
Apple Security TV Data Management CXO datasentre 