社区编辑申请
注册/登录
2021年恶意软件AdLoad绕过了苹果XProtect的防护
安全
AdLoad是一个著名的苹果攻击软件,已经出现了很多年。它本质上就是一个特洛伊木马,它会在受感染的系统上打开一个后门,下载和安装广告软件或客户所不需要的程序(PUPs)。

研究人员说,MacOS设备中的AdLoad恶意软件绕过了苹果设备上的恶意软件扫描器。该攻击活动使用了大约150个独特的样本,其中一些是由苹果公司的公证服务签署的。

AdLoad是一个著名的苹果攻击软件,已经出现了很多年。它本质上就是一个特洛伊木马,它会在受感染的系统上打开一个后门,下载和安装广告软件或客户所不需要的程序(PUPs)。它还能够收集和传输受害者的机器信息,如用户名和计算机名称。它还会劫持搜索引擎的搜索结果,并在网页中注入大量广告。

该软件最近改变了攻击战术,更新了一个新的功能来逃避主机上的安全软件。

SentinelOne公司的研究员Phil Stokes在周三的一篇文章中说:"今年我们发现了该软件的一个新的版本,可以感染那些仅仅使用苹果内置安全控件XProtect检测恶意软件的Mac用户。Xprotect标记了AdLoad大约11个不同的签名,但在此次新的攻击活动中使用的变体却没有被这些规则检测到。”

AdLoad感染程序

2021年的AdLoad变种出现了一种新的感染方法。首先,根据斯托克斯的技术分析,它们在用户的Library LaunchAgents文件夹中安装一个.system或.service文件扩展名的持久性代理,然后才开始它们的攻击。

当用户登录时,该持久性代理会执行一个隐藏在同一用户的~/Library/Application Support/文件夹中的二进制文件。然而Application Support中的那个文件夹又包含了另一个名为/Services/的目录。

该捆绑文件会包含一个具有相同名称的可执行文件。斯托克斯说,还有一个名为.logg的隐藏跟踪文件,其中包含了受害者的通用唯一标识符(UUID),它也包含在Application Support文件夹中。

他指出,这些程序是被混淆加密的Zsh脚本,在攻击的最后从/tmp目录中执行恶意软件(一个shell脚本)之前,会进行一系列的解包。其中许多是经过签名或公证的。

斯托克斯说:"通常情况下,我们会观察到,在VirusTotal上观察到样本的几天内(有时是几小时),用于签署droppers的开发者证书会被苹果公司撤销,然后苹果公司会通过Gatekeeper和OCSP签名检查,来提供一些临时的保护,防止这些特定的签名样本进一步感染,另外,我们通常看到在几小时或几天内就会出现用新证书签名的新样本。真的,这就像是玩打地鼠游戏"。

在任何情况下,最终的有效载荷并不为当前版本的苹果XProtect v2149所知。

利用苹果的XProtect的漏洞

SentinelLabs的研究人员观察到最新的AdLoader样本早在去年11月就开始在攻击活动中使用,但直到今年夏天,特别是7月和8月,攻击的样本数量才开始急剧上升。

斯托克斯说:"当然,恶意软件开发者似乎在大量利用XProtect的漏洞进行攻击,在撰写本报告时,XProtect最后一次更新到2149版本是在6月15-18日左右,该恶意软件在VirusTotal的检测率的确很高。一个著名的广告软件变体的数百个独特样本已经流通了至少10个月,但仍未被苹果公司的内置恶意软件扫描器检测到,这一事实表明在Mac设备上很有必要进一步增加终端的安全控制。"

本文翻译自:https://threatpost.com/adload-malware-apple-xprotect/168634/如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
相关推荐

2022-06-12 06:48:34

2022-06-15 11:02:40

网络安全运营

2022-06-15 08:21:49

Linux运维工程师

2022-06-14 23:34:10

Linux安全服务器

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-27 17:46:53

PythonFlask

2022-07-01 15:46:20

网络安全数字化智能制造

2022-07-01 14:14:42

MuddyWater攻击伊朗

2022-06-23 12:03:00

网络安全网络安全事故

2022-06-16 17:02:49

微软智能云混合云Azure

2022-05-24 15:22:09

网络安全企业风险

2022-07-01 17:19:33

网络安全零信任

2022-06-30 11:03:27

DDoS攻击WAF

2022-06-28 10:58:35

勒索软件攻击事件

2022-07-01 18:24:36

勒索软件病毒网络攻击

2022-06-10 07:45:09

CentOS国产操作系统

2022-06-20 13:34:46

漏洞网络攻击

2022-06-30 10:22:26

K8s可观测Prometheus

2022-07-01 14:25:27

机器学习人工智能工业4.0

2022-06-23 09:22:57

Vue技巧前端

同话题下的热门内容

超低成本 DDoS 攻击来袭,看 WAF 如何绝地防护都怪二维码,造就了网友们的社死现场...2022年上半年五大勒索软件攻击事件谁家的加密密钥,写死在代码里?就因为QQ登录二维码,全网发生了大规模的社死黑客组织对印度政府发动了网络攻击如何最大限度提升智能建筑中的网络安全?监管机构禁令频发,谷歌将被禁止追踪数百万用户数据

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号