科学研究工作人员说,MacOS机器设备中的AdLoad恶意软件绕开了iPhone机器设备上的恶意软件扫码器。该进攻主题活动应用了大概150个与众不同的样版,在其中一些是由美国苹果公司的公正服务项目签定的。
AdLoad是一个知名的iPhone攻击器,早已发生了好多年。它实质上也是一个特洛伊木马,它会在受传染的系統上开启一个侧门,下载和安裝广告推送或顾客所不用的程序流程(PUPs)。它还可以采集和传送受害人的设备信息,如登录名和计算机名称。它还会挟持搜索引擎的百度搜索,并在网页页面中加入很多广告宣传。
此软件近期更改了进攻战略,升级了一个新的作用来躲避服务器上的电脑安全软件。
SentinelOne公司的研究者Phil Stokes在周三的一篇文章中说:"2022年大家看到了此软件的一个新的版本号,可以感柒这些只是应用iPhone内嵌安全控件XProtect检测恶意软件的Mac客户。Xprotect标识了AdLoad大约11个不一样的签字,但在本次新的进攻主题活动中采用的组合却没被这种标准检验到。”
AdLoad感柒程序流程
2021年的AdLoad变异发生了一种新的传染方式。最先,依据斯托克斯的技术指标分析,他们在客户的Library LaunchAgents文件夹中安裝一个.system或.service文件扩展名的持续性代理商,随后才逐渐他们的进攻。
当账号登录时,该持续性代理会实行一个掩藏在同一客户的~/Library/Application Support/文件夹名称中的二进制文件。殊不知Application Support中的那一个文件夹名称又涵盖了另一个名叫/Services/的文件目录。
该捆缚文档会含有一个具备同样名字的可执行程序。斯托克斯说,还有一个名叫.logg的掩藏追踪文档,在其中包括了受害人的通用性唯一标志符(UUID),它也包括在Application Support文件夹名称中。
他强调,这种系统是被搞混数据加密的Zsh脚本,在进攻的最终从/tmp文件目录中实行恶意软件(一个shell脚本制作)以前,会开展一系列的拆包。在其中很多是通过签字或公正的。
斯托克斯说:"一般来说,大家会观查到,在VirusTotal上观察到样版的几日内(有时候是几个小时),用以签定droppers的开发人员资格证书会被美国苹果公司撤消,随后美国苹果公司会根据Gatekeeper和OCSP签字查验,来给予一些临时性的维护,避免这种特殊的签字样版进一步感柒,此外,大家通常见到在几个小时或几日内便会发生用新证书签名的新样版。确实,这就好像玩打地鼠游戏"。
在所有状况下,最后的有效载荷并不以现阶段版本号的iPhoneXProtect v2149孰知。
运用iPhone的XProtect的系统漏洞
SentinelLabs的分析工作人员观查到近期的AdLoader样版早在上年11月就開始在进攻主题活动中应用,但直到这个夏天,尤其是7月和8月,进攻的样品总数才逐渐大幅度升高。
斯托克斯说:"自然,恶意软件开发人员好像在很多运用XProtect的缺陷开展进攻,在编写本汇报时,XProtect最后一次升级到2149版本号是在6月15-18日上下,该恶意软件在VirusTotal的检查率确实很高。一个知名的广告推送组合的数千与众不同样版早已商品流通了起码10个月,但并未被美国苹果公司的内嵌恶意软件扫码器检验到,这一客观事实说明在Mac机器设备上很必须进一步提升终端设备的安全管理。"
文中翻譯自:https://threatpost.com/adload-malware-apple-xprotect/168634/倘若转截,请标明全文详细地址。