Yeni bir ADLOAD Malware Variant, Apple'ın Yara İmza Tabanlı Xprotect Dahili Antivirüsünden, MAC'leri Siber Güvenlik Firması Sentinelone tarafından izlenen birden fazla kampanyanın bir parçası olarak enfekte etmek.
ADLOAD, MACOS platformunu en azından 2017 yılının sonundan bu yana hedefleyen yaygın bir Trojan'dır ve adware ve potansiyel olarak istenmeyen uygulamalar (PUA'lar) dahil olmak üzere çeşitli kötü amaçlı yükler dağıtmak için kullanılır.
Bu kötü amaçlı yazılım, daha sonra operatörleri tarafından kontrol edilen uzak sunuculara gönderilen sistem bilgisini hasat edebilir.
Bu büyük ölçek ve devam eden saldırılar, NanceYinelone Tehditi Araştırmacı Phil Stokes'e göre, Temmuz ve Ağustos ayının başında başlayan faaliyetlerde artışla 2020 Kasım'ın başında başlamıştır.
Bir Mac'le bulaştığında, ADLOAD, ARAMA MOTORU SONUÇLARI HIJACK için bir erkek-in-orta (MITM) Web Proxy'si kuracak ve reklamları parasal kazanç için web sayfalarına enjekte edecektir.
Ayrıca, başlatılmış MAC'lerde, patronluklar ve lansmanları kurarak ve bazı durumlarda, her iki buçuk saatte çalışan kullanıcı Cronjobs'u da kazanacaktır.
Bu kampanyayı izlerken, araştırmacı 220'den fazla numune gözlemledi, 150'sinde Apple'ın yerleşik antivirüsünün benzersiz ve tespit edilmesine rağmen, Xprotect şimdi kabaca bir düzineden bir bağ yükü imzası ile gelmesine rağmen.
Sentinelone tarafından tespit edilen numunelerin çoğu, geçerli Apple tarafından verilen geliştirici kimliği sertifikaları ile imzalanırken, diğerleri ayrıca varsayılan kapakçı ayarları altında çalışacak şekilde uyarlanmıştır.
"Yazma sırasında, Xprotect en son 15 Haziran'da güncellendi. Bulduğumuz örneklerin hiçbiri, tarayıcının mevcut ADLOAD kuralları kümesinin herhangi biriyle eşleşmemeleri için Xprotect olarak bilinmemektedir," dedi Stokes.
"İyi bilinen bir reklam varyantının yüzlerce benzersiz örneğinin en az 10 ay boyunca dolaştığı ve yine de Apple'ın yerleşik kötü amaçlı yazılım tarayıcısının tespit edilmediği gerçeği, Mac cihazlarına daha fazla uç nokta güvenlik kontrolü eklemenin gerekliliğini göstermektedir."
Bir şeyler perspektife koymak için, XProtect'i daha önce atlayabilecek ve diğer kötü amaçlı yükleriyle MAC'leri enfekte edebilen bir başka yaygın MacOS kötü amaçlı yazılım gerilimi olan Shlayer, Kaspersky'nin izleyen tüm Apple bilgisayarlarının% 10'undan fazlasını vurdu.
Yaratıcıları ayrıca, Apple'ın otomatik not gösterimi sürecinde kötü amaçlı yazılımlarını da aldı ve İmzasız İkinci Aşama Yük Yüklerini Koşmak için Gizekeper Koruma Mekanizmasını devre dışı bırakma yeteneğini de içeriyordu.
SHLAYER ayrıca son zamanlarda Apple'ın karantinasını, gatekeeper ve noterarizasyon güvenliği kontrollerini atlamak için bir MacOS sıfır gününü kullandı ve bilardo güvenliği kontrollerini indirin ve güvenilir Mac'lerde ikinci aşamalı kötü amaçlı yükler indirin.
Hem ADLOAD hem de SHLAYER şimdi, yalnızca adware ve Bundleware'i ikincil yükler olarak dağıtırken, yaratıcıları herhangi bir zamanda fidyeware veya silecekler dahil olmak üzere daha fazla tehlikeli kötü amaçlı yazılımlara geçebilirler.
Craig Federighi, "Bugün, PRAIG FEDERIGHI, Apple'ın EPIC Games'e ve Apple Deneme sürümünde tanınırken, IOS'tan çok daha kötü olan bir kötü amaçlı yazılım seviyemiz var." Dedi. Mayıs.
Apple, vahşi doğada sömürülen iPhone'lar ve MAC'leri etkileyen sıfır gün düzeltti
Apple, XCSSET MacOS Malware tarafından kötüye kullanılan üç sıfır günü düzeltti.
Yeni MOSAICLOADER Malware Çevrimiçi reklamlar yoluyla yazılım korsanları hedefliyor
Synology, kötü amaçlı yazılımın bulaşması NAS aygıtları fidye yazılımı ile uyardı
Prometheus TDS: Son Malware saldırılarının arkasındaki 250 dolarlık hizmet
Kaynak: Bleeping Computer