新型AdLoad变体绕过Apple的防护措施来攻击macOS系统

仅在 2021 年，涉及臭名昭著的 macOS 广告软件系列的新一波攻击已经发展到利用大约 150 个独特的样本，其中一些已经绕过了 Apple 的设备上恶意软件扫描程序，甚至由其自己的公证服务签名，突出了恶意软件不断尝试适应和逃避检测。

“AdLoad”，正如已知的恶意软件，是至少自 2017 年以来针对 macOS 的几种广泛使用的广告软件和捆绑软件加载程序之一，它能够后门受影响的系统下载和安装广告软件或潜在有害程序 (PUP)，以及收集和传输有关受害机器的信息。

SentinelOne 威胁研究员 Phil Stokes在上周发布的一份分析报告中表示，新版本“继续影响仅依赖 Apple 内置安全控制 XProtect 进行恶意软件检测的 Mac 用户” 。“然而，截至今天，XProtect 可以说有大约 11 个不同的 AdLoad 签名 [但是] 在这个新活动中使用的变体没有被任何这些规则检测到。”

2021 版 AdLoad 锁定使用不同文件扩展名模式（.system 或 .service）的持久性和可执行名称，使恶意软件能够绕过 Apple 整合的额外安全保护，最终导致安装持久性代理，反过来，这会触发攻击链以部署伪装成虚假 Player.app 的恶意投放器来安装恶意软件。

更重要的是，将滴管签署使用开发者证书具有有效的签名，促使苹果吊销证书“关于VirusTotal被观察的样本天（有时小时）的问题中，由这些特定的提供防止进一步感染，一些迟来的和临时的保护通过 Gatekeeper 和 OCSP 签名检查对样本进行签名，”Stokes 指出。

SentinelOne 表示，它在几个小时和几天内检测到用新证书签名的新样本，称其为“打地鼠游戏”。据说 AdLoad 的第一个样本最早于 2020 年 11 月出现，在 2021 年上半年定期出现，随后在整个 7 月，特别是 2021 年 8 月的前几周急剧上升。

AdLoad 与 Shlayer 一起属于恶意软件家族，众所周知，它可以绕过 XProtect 并使用其他恶意负载感染 Mac。2021 年 4 月，Apple 解决了其 Gatekeeper 服务 ( CVE-2021-30657 ) 中一个被积极利用的零日漏洞，Shlayer 运营商滥用该漏洞在 Mac 上部署未经批准的软件。

“macOS 上的恶意软件是设备制造商正在努力应对的一个问题，”斯托克斯说。“数百个知名广告软件变种的独特样本已经传播了至少 10 个月，但仍未被 Apple 的内置恶意软件扫描程序检测到，这一事实表明，有必要为 Mac 设备添加进一步的端点安全控制。”