Varian AdLoad Baru Melewati Pertahanan Keamanan Apple untuk Menargetkan Sistem macOS

  • Whatsapp
Varian AdLoad Baru Melewati Pertahanan Keamanan Apple untuk Menargetkan Sistem macOS

Gelombang serangan baru yang melibatkan keluarga adware macOS terkenal telah berevolusi untuk memanfaatkan sekitar 150 sampel unik di alam liar pada tahun 2021 saja, beberapa di antaranya telah lolos dari pemindai malware di perangkat Apple dan bahkan ditandatangani oleh layanan notarisnya sendiri, menyoroti kejahatan berbahaya. perangkat lunak terus-menerus mencoba untuk beradaptasi dan menghindari deteksi.

“AdLoad,” seperti malware yang dikenal, adalah salah satu dari beberapa pemuat adware dan bundleware yang tersebar luas yang menargetkan macOS setidaknya sejak 2017 yang mampu membuka pintu belakang sistem yang terpengaruh untuk mengunduh dan menginstal adware atau program yang mungkin tidak diinginkan (PUP), serta mengumpulkan dan mengirimkan informasi tentang mesin korban.

Bacaan Lainnya

Tim Stack Overflow

Iterasi baru “terus berdampak pada pengguna Mac yang hanya mengandalkan kontrol keamanan bawaan Apple XProtect untuk deteksi malware,” peneliti ancaman SentinelOne Phil Stokes dikatakan dalam sebuah analisis yang diterbitkan minggu lalu. “Pada hari ini, bagaimanapun, XProtect bisa dibilang memiliki sekitar 11 tanda tangan yang berbeda untuk AdLoad [but] varian yang digunakan dalam kampanye baru ini tidak terdeteksi oleh salah satu aturan tersebut.”

AdLoad versi 2021 menggunakan kegigihan dan nama yang dapat dieksekusi yang menggunakan pola ekstensi file yang berbeda (.system atau .service), memungkinkan malware untuk menyiasati perlindungan keamanan tambahan yang dimasukkan oleh Apple, yang pada akhirnya menghasilkan pemasangan agen persistensi, yang, pada gilirannya, memicu rantai serangan untuk menyebarkan dropper berbahaya yang menyamar sebagai Player.app palsu untuk menginstal malware.

Terlebih lagi, droppernya adalah tertanda dengan tanda tangan yang valid menggunakan sertifikat pengembang, mendorong Apple untuk mencabut sertifikat “dalam hitungan hari (kadang-kadang jam) dari sampel yang diamati di VirusTotal, menawarkan beberapa perlindungan yang terlambat dan sementara terhadap infeksi lebih lanjut oleh sampel yang ditandatangani tersebut melalui Gatekeeper dan Pemeriksaan tanda tangan OCSP,” kata Stokes.

Mencegah Serangan Ransomware

SentinelOne mengatakan pihaknya mendeteksi sampel baru yang ditandatangani dengan sertifikat baru dalam beberapa jam dan hari, menyebutnya sebagai “permainan mendera.” Sampel pertama AdLoad dikatakan telah muncul pada awal November 2020, dengan kemunculan reguler lebih lanjut di paruh pertama tahun 2021, diikuti oleh peningkatan tajam sepanjang Juli dan, khususnya, minggu-minggu awal Agustus 2021.

AdLoad adalah salah satu keluarga malware, di samping Shlayer, yang diketahui dapat melewati XProtect dan menginfeksi Mac dengan muatan berbahaya lainnya. Pada April 2021, Apple mengatasi kelemahan zero-day yang dieksploitasi secara aktif dalam layanan Gatekeeper-nya (CVE-2021-30657) yang disalahgunakan oleh operator Shlayer untuk menyebarkan perangkat lunak yang tidak disetujui di Mac.

“Malware di macOS adalah masalah yang harus diatasi oleh produsen perangkat,” kata Stokes. “Fakta bahwa ratusan sampel unik dari varian adware terkenal telah beredar setidaknya selama 10 bulan dan masih tetap tidak terdeteksi oleh pemindai malware bawaan Apple menunjukkan perlunya menambahkan kontrol keamanan titik akhir lebih lanjut ke perangkat Mac.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *