Des chercheurs découvrent de nouvelles campagnes du malware AdLoad visant les Mac et les produits Apple

Des chercheurs découvrent de nouvelles campagnes du malware AdLoad visant les Mac et les produits Apple

SentinelLabs a publié un nouveau rapport sur la découverte d’une nouvelle campagne de logiciels publicitaires ciblant les produits Apple.

Après avoir analysé AdLoad comme un adware et un bundleware loader qui vise macOS depuis 2019, la société de cybersécurité a déclaré avoir identifié 150 nouveaux échantillons de l’adware qui, selon eux, “restent non détecté par le scanner de malware sur l’appareil d’Apple.”

publicité

Apple utilise le système de sécurité XProtect pour détecter les logiciels malveillants sur tous les Mac et a créé à l’origine un schéma de protection contre AdLoad, qui est diffusé sur Internet depuis au moins 2017, selon le rapport.

XProtect dispose désormais d’environ 11 signatures différentes pour AdLoad, dont certaines couvrent la version 2019 de l’adware que SentinelLabs a découvert cette année-là. Mais la dernière campagne découverte n’est pas bloquée par XProtect, selon l’entreprise.

” En 2019, ce motif comprenait une combinaison des mots ” Search “, ” Result ” et ” Daemon “, comme dans l’exemple présenté ci-dessus : ” ElementarySignalSearchDaemon “. De nombreux autres exemples peuvent être trouvés ici. La variante 2021 utilise un modèle différent qui repose principalement sur une extension de fichier .system ou .service”, expliquent les chercheurs.

“L’extension de fichier utilisée dépend de l’emplacement du fichier de persistance déposé et de l’exécutable, comme décrit ci-dessous, mais généralement, les fichiers .system et .service se trouvent sur le même appareil infecté si l’utilisateur a donné des privilèges au programme d’installation.”

Les chercheurs ont découvert environ 50 modèles d’étiquettes différents et ont constaté que les droppers utilisés partagent le même modèle que les droppers Bundlore/Shlayer.

“Ils utilisent un faux Player.app monté dans un DMG. Beaucoup sont signés avec une signature valide ; dans certains cas, on sait même qu’ils ont été analysés”, indique le rapport.

“En général, nous observons que les certificats des développeurs utilisés pour signer les droppers sont révoqués par Apple quelques jours (parfois quelques heures) après que les échantillons ont été mis en ligne sur VirusTotal, offrant ainsi une protection tardive et temporaire contre d’autres infections par ces échantillons signés au moyen des contrôles de signature Gatekeeper et OCSP. De même, nous voyons généralement de nouveaux échantillons signés avec de nouveaux certificats apparaître en l’espace de quelques heures ou de quelques jours. C’est un véritable jeu de massacre”.

SentinelLabs cite des recherches d’analystes de Confiant confirmant que des échantillons ont été scannés par Apple.

Les échantillons ont commencé à apparaître en novembre 2020 et sont devenus plus importants en 2021. La hausse a été encore plus marquée en juillet et en août, car de plus en plus d’attaquants tentent de profiter des failles de XProtect avant qu’elles ne soient comblées.

La dernière mise à jour de XProtect remonte au 18 juin, selon SentinelLabs. Apple n’a pas répondu aux demandes de commentaires.

Malgré l’absence de protection de XProtect, d’autres fournisseurs disposent de systèmes permettant de détecter le malware.

“Comme Apple l’a noté et comme nous l’avons décrit ailleurs, les logiciels malveillants sur macOS sont un problème auquel le fabricant a du mal à faire face”, indique le rapport.

“Le fait que des centaines d’échantillons uniques d’une variante bien connue de logiciel publicitaire circulent depuis au moins 10 mois et ne sont toujours pas détectés par le scanner de logiciels malveillants intégré d’Apple démontre la nécessité d’ajouter d’autres contrôles de sécurité des terminaux aux appareils Mac.”

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *