Une variante du malware AdLoad passe à travers les défenses XProtect d’Apple

0

Une nouvelle variante du malware AdLoad se faufile dans l’antivirus intégré XProtect basé sur la signature YARA d’Apple pour infecter les Mac dans le cadre de plusieurs campagnes suivies par la société de cybersécurité SentinelOne.

AdLoad est un cheval de Troie répandu ciblant la plate-forme macOS depuis au moins fin 2017 et utilisé pour déployer diverses charges utiles malveillantes, notamment des logiciels publicitaires et des applications potentiellement indésirables (PUA),

Ce malware peut également récolter des informations système qui sont ensuite envoyées à des serveurs distants contrôlés par ses opérateurs.

De plus en plus actif depuis juillet

Ces attaques à grande échelle et en cours ont commencé dès novembre 2020, selon Phil Stokes, chercheur sur les menaces de SentinelOne, avec une augmentation de l’activité à partir de juillet et début août.

Une fois qu’il infecte un Mac, AdLoad installe un proxy Web Man-in-The-Middle (MiTM) pour détourner les résultats des moteurs de recherche et injecter des publicités dans les pages Web pour un gain monétaire.

Il gagnera également en persistance sur les Mac infectés en installant des LaunchAgents et des LaunchDaemons et, dans certains cas, des tâches cron utilisateur qui s’exécutent toutes les deux heures et demie.

En surveillant cette campagne, le chercheur a observé plus de 220 échantillons, dont 150 uniques et non détectés par l’antivirus intégré d’Apple, même si XProtect est désormais livré avec environ une douzaine de signatures d’AdLoad.

De nombreux échantillons détectés par SentinelOne sont également signés avec des certificats d’identification de développeur valides émis par Apple, tandis que d’autres sont également notariés pour s’exécuter sous les paramètres par défaut de Gatekeeper.

adload
Signatures XProtect d’AdLoad (SentinelOne)

« Au moment de la rédaction, XProtect a été mis à jour pour la dernière fois vers le 15 juin. Aucun des échantillons que nous avons trouvés n’est connu de XProtect car ils ne correspondent à aucun des ensembles actuels de règles Adload du scanner », a conclu Stokes.

« Le fait que des centaines d’échantillons uniques d’une variante de logiciel publicitaire bien connue circulent depuis au moins 10 mois et ne soient toujours pas détectés par le scanner de logiciels malveillants intégré d’Apple, démontre la nécessité d’ajouter des contrôles de sécurité supplémentaires aux appareils Mac. »

Difficile d’ignorer la menace

Pour mettre les choses en perspective, Shlayer, une autre souche de malware macOS courante qui a également pu contourner XProtect auparavant et infecter les Mac avec d’autres charges utiles malveillantes, a touché plus de 10 % de tous les ordinateurs Apple surveillés par Kaspersky.

Ses créateurs ont également obtenu leurs logiciels malveillants via le processus de notarisation automatisé d’Apple et ont inclus la possibilité de désactiver le mécanisme de protection Gatekeeper pour exécuter des charges utiles de deuxième étape non signées.

Shlayer a également récemment exploité une faille zero-day de macOS pour contourner les contrôles de sécurité d’Apple Quarantine, Gatekeeper et Notarization et télécharger des charges utiles malveillantes de deuxième étape sur des Mac compromis.

Alors qu’AdLoad et Shlayer ne déploient désormais que les adwares et bundleware en tant que charges utiles secondaires, leurs créateurs peuvent rapidement passer à des logiciels malveillants plus dangereux, y compris des ransomwares ou des wipers, à tout moment.

« Aujourd’hui, nous avons un niveau de malware sur Mac que nous ne trouvons pas acceptable et qui est bien pire qu’iOS », a déclaré sous serment Craig Federighi, responsable des logiciels d’Apple, lors de son témoignage dans le procès Epic Games contre Apple en Mai.

Laisser un commentaire