Новый вариант вредоноса AdLoad обходит защиту Apple XProtect
13/08/21
Новый вариант вредоносного ПО AdLoad способен обходить встроенную антивирусную технологию XProtect на основе сигнатур Apple YARA с целью заражения компьютеров под управлением macOS.
AdLoad — троян, использующийся для атак на macOS с конца 2017 года. Преступники с помощью AdLoad устанавливают на системе жертвы различные вредоносные нагрузки, включая рекламное ПО и потенциально нежелательные приложения. Вредонос способен похищать системную информацию и отправлять ее на удаленные серверы, контролируемые злоумышленниками.
По словам специалистов из компании SentinelOne, текущая вредоносная кампания началась в ноябре 2020 года, а с июля по начало августа нынешнего года их активность возросла. После заражения устройств под управлением macOS троян AdLoad устанавливает web-прокси Man-in-The-Middle (MiTM) для перехвата результатов поисковых запросов и внедрения рекламы на web-страницы с целью получения денежной выгоды.
Для обеспечения персистентности на зараженных компьютерах операторы AdLoad устанавливают LaunchAgents и LaunchDaemons, а в некоторых случаях пользовательские cronjobs, которые запускаются каждые два с половиной часа.
В ходе анализа данной кампании исследователи обнаружили более 220 образцов вредоноса, 150 из которых не выявлялись встроенным антивирусным решением от Apple. Как отметили эксперты, многие образцы подписаны действительными сертификатами Developer ID, выпущенными Apple, а другие подписаны для запуска с настройками Gatekeeper по умолчанию.