研究人員說，MacOS設備中的AdLoad惡意軟件繞過了蘋果設備上的惡意軟件掃描器。該攻擊活動使用了大約150個獨特的樣本，其中一些是由蘋果公司的公證服務簽署的。

AdLoad是一個著名的蘋果攻擊軟件，已經出現了很多年。它本質上就是一個特洛伊木馬，它會在受感染的系統上打開一個后門，下載和安裝廣告軟件或客戶所不需要的程序(PUPs)。它還能夠收集和傳輸受害者的機器信息，如用戶名和計算機名稱。它還會劫持搜索引擎的搜索結果，并在網頁中注入大量廣告。

該軟件最近改變了攻擊戰術，更新了一個新的功能來逃避主機上的安全軟件。

SentinelOne公司的研究員Phil Stokes在周三的一篇文章中說："今年我們發現了該軟件的一個新的版本，可以感染那些僅僅使用蘋果內置安全控件XProtect檢測惡意軟件的Mac用戶。Xprotect標記了AdLoad大約11個不同的簽名，但在此次新的攻擊活動中使用的變體卻沒有被這些規則檢測到。”

AdLoad感染程序

2021年的AdLoad變種出現了一種新的感染方法。首先，根據斯托克斯的技術分析，它們在用戶的Library LaunchAgents文件夾中安裝一個.system或.service文件擴展名的持久性代理，然后才開始它們的攻擊。

當用戶登錄時，該持久性代理會執行一個隱藏在同一用戶的~/Library/Application Support/文件夾中的二進制文件。然而Application Support中的那個文件夾又包含了另一個名為/Services/的目錄。

該捆綁文件會包含一個具有相同名稱的可執行文件。斯托克斯說，還有一個名為.logg的隱藏跟蹤文件，其中包含了受害者的通用唯一標識符(UUID)，它也包含在Application Support文件夾中。

他指出，這些程序是被混淆加密的Zsh腳本，在攻擊的最后從/tmp目錄中執行惡意軟件(一個shell腳本)之前，會進行一系列的解包。其中許多是經過簽名或公證的。

斯托克斯說："通常情況下，我們會觀察到，在VirusTotal上觀察到樣本的幾天內(有時是幾小時)，用于簽署droppers的開發者證書會被蘋果公司撤銷，然后蘋果公司會通過Gatekeeper和OCSP簽名檢查，來提供一些臨時的保護，防止這些特定的簽名樣本進一步感染，另外，我們通常看到在幾小時或幾天內就會出現用新證書簽名的新樣本。真的，這就像是玩打地鼠游戲"。

在任何情況下，最終的有效載荷并不為當前版本的蘋果XProtect v2149所知。

利用蘋果的XProtect的漏洞

SentinelLabs的研究人員觀察到最新的AdLoader樣本早在去年11月就開始在攻擊活動中使用，但直到今年夏天，特別是7月和8月，攻擊的樣本數量才開始急劇上升。

斯托克斯說："當然，惡意軟件開發者似乎在大量利用XProtect的漏洞進行攻擊，在撰寫本報告時，XProtect最后一次更新到2149版本是在6月15-18日左右，該惡意軟件在VirusTotal的檢測率的確很高。一個著名的廣告軟件變體的數百個獨特樣本已經流通了至少10個月，但仍未被蘋果公司的內置惡意軟件掃描器檢測到，這一事實表明在Mac設備上很有必要進一步增加終端的安全控制。"

本文翻譯自：https://threatpost.com/adload-malware-apple-xprotect/168634/如若轉載，請注明原文地址。