研究人员说，MacOS设备中的AdLoad恶意软件绕过了苹果设备上的恶意软件扫描器。该攻击活动使用了大约150个独特的样本，其中一些是由苹果公司的公证服务签署的。

AdLoad是一个著名的苹果攻击软件，已经出现了很多年。它本质上就是一个特洛伊木马，它会在受感染的系统上打开一个后门，下载和安装广告软件或客户所不需要的程序（PUPs）。它还能够收集和传输受害者的机器信息，如用户名和计算机名称。它还会劫持搜索引擎的搜索结果，并在网页中注入大量广告。

该软件最近改变了攻击战术，更新了一个新的功能来逃避主机上的安全软件。

SentinelOne公司的研究员Phil Stokes在周三的一篇文章中说："今年我们发现了该软件的一个新的版本，可以感染那些仅仅使用苹果内置安全控件XProtect检测恶意软件的Mac用户。Xprotect标记了AdLoad大约11个不同的签名，但在此次新的攻击活动中使用的变体却没有被这些规则检测到。”

AdLoad感染程序

2021年的AdLoad变种出现了一种新的感染方法。首先，根据斯托克斯的技术分析，它们在用户的Library LaunchAgents文件夹中安装一个.system或.service文件扩展名的持久性代理，然后才开始它们的攻击。

当用户登录时，该持久性代理会执行一个隐藏在同一用户的~/Library/Application Support/文件夹中的二进制文件。然而Application Support中的那个文件夹又包含了另一个名为/Services/的目录。

该捆绑文件会包含一个具有相同名称的可执行文件。斯托克斯说，还有一个名为.logg的隐藏跟踪文件，其中包含了受害者的通用唯一标识符（UUID），它也包含在Application Support文件夹中。

他指出，这些程序是被混淆加密的Zsh脚本，在攻击的最后从/tmp目录中执行恶意软件（一个shell脚本）之前，会进行一系列的解包。其中许多是经过签名或公证的。

斯托克斯说："通常情况下，我们会观察到，在VirusTotal上观察到样本的几天内（有时是几小时），用于签署droppers的开发者证书会被苹果公司撤销，然后苹果公司会通过Gatekeeper和OCSP签名检查，来提供一些临时的保护，防止这些特定的签名样本进一步感染，另外，我们通常看到在几小时或几天内就会出现用新证书签名的新样本。真的，这就像是玩打地鼠游戏"。

在任何情况下，最终的有效载荷并不为当前版本的苹果XProtect v2149所知。

利用苹果的XProtect的漏洞

SentinelLabs的研究人员观察到最新的AdLoader样本早在去年11月就开始在攻击活动中使用，但直到今年夏天，特别是7月和8月，攻击的样本数量才开始急剧上升。

斯托克斯说："当然，恶意软件开发者似乎在大量利用XProtect的漏洞进行攻击，在撰写本报告时，XProtect最后一次更新到2149版本是在6月15-18日左右，该恶意软件在VirusTotal的检测率的确很高。一个著名的广告软件变体的数百个独特样本已经流通了至少10个月，但仍未被苹果公司的内置恶意软件扫描器检测到，这一事实表明在Mac设备上很有必要进一步增加终端的安全控制。"

本文转载自：嘶吼

作者：~阳光~

原文地址：https://www.4hou.com/posts/4VAg

本文翻译自：https://threatpost.com/adload-malware-apple-xprotect/168634/