Une nouvelle vague d’attaques impliquant une célèbre famille de logiciels publicitaires macOS a évolué pour exploiter environ 150 échantillons uniques dans la nature rien qu’en 2021, dont certains ont échappé au scanner de logiciels malveillants sur l’appareil d’Apple et même signé par son propre service de notarisation, mettant en évidence le le logiciel tente constamment de s’adapter et d’échapper à la détection.
« AdLoad », comme on appelle le malware, est l’un des nombreux chargeurs de logiciels publicitaires et de bundles ciblant macOS depuis au moins 2017 qui est capable de backdoor un système affecté pour télécharger et installer des logiciels publicitaires ou des programmes potentiellement indésirables (PUP), ainsi que d’amasser et transmettre des informations sur les machines victimes.
La nouvelle itération « continue d’avoir un impact sur les utilisateurs de Mac qui s’appuient uniquement sur le contrôle de sécurité intégré XProtect d’Apple pour la détection des logiciels malveillants », Phil Stokes, chercheur en menaces chez SentinelOne. mentionné dans une analyse publiée la semaine dernière. « À ce jour, cependant, XProtect a sans doute environ 11 signatures différentes pour AdLoad [but] la variante utilisée dans cette nouvelle campagne n’est détectée par aucune de ces règles. »
La version 2021 d’AdLoad s’accroche à la persistance et aux noms d’exécutables qui utilisent un modèle d’extension de fichier différent (.system ou .service), permettant au malware de contourner les protections de sécurité supplémentaires incorporées par Apple, aboutissant finalement à l’installation d’un agent de persistance, qui, à son tour, déclenche une chaîne d’attaque pour déployer des droppers malveillants qui se font passer pour un faux Player.app pour installer des logiciels malveillants.
De plus, les compte-gouttes sont signé avec une signature valide utilisant des certificats de développeur, incitant Apple à révoquer les certificats « en quelques jours (parfois des heures) d’échantillons observés sur VirusTotal, offrant une protection tardive et temporaire contre d’autres infections par ces échantillons signés particuliers au moyen de Gatekeeper et Vérifications de signature OCSP », a noté Stokes.
SentinelOne a déclaré avoir détecté de nouveaux échantillons signés avec de nouveaux certificats en quelques heures et jours, le qualifiant de « jeu de taupe ». Les premiers échantillons d’AdLoad seraient apparus dès novembre 2020, avec d’autres occurrences régulières au cours du premier semestre 2021, suivies d’une forte augmentation tout au long du mois de juillet et, en particulier, des premières semaines d’août 2021.
AdLoad fait partie des familles de logiciels malveillants, aux côtés de Shlayer, qui sont connus pour contourner XProtect et infecter les Mac avec d’autres charges utiles malveillantes. En avril 2021, Apple a corrigé une faille zero-day activement exploitée dans son service Gatekeeper (CVE-2021-30657) qui a été abusée par les opérateurs Shlayer pour déployer des logiciels non approuvés sur Mac.
« Les logiciels malveillants sur macOS sont un problème auquel le fabricant de l’appareil a du mal à faire face », a déclaré Stokes. « Le fait que des centaines d’échantillons uniques d’une variante de logiciel publicitaire bien connue circulent depuis au moins 10 mois et ne soient toujours pas détectés par le scanner de logiciels malveillants intégré d’Apple, démontre la nécessité d’ajouter des contrôles de sécurité supplémentaires aux appareils Mac. »
