Une nouvelle variante de malware AdLoad passe par la technologie antivirus intégrée XProtect basée sur la signature YARA d’Apple pour infecter les Mac dans le cadre de plusieurs campagnes suivies par les chercheurs en sécurité de SentinelOne.

AdLoad est un cheval de Troie répandu ciblant la plate-forme macOS depuis au moins depuis fin 2017 et utilisé pour déployer diverses charges utiles malveillantes, y compris les logiciels publicitaires et les applications potentiellement indésirables (PUA),

Ce malware peut également récolter des informations système qui sont ensuite envoyées à des serveurs distants contrôlés par ses opérateurs.

De plus en plus actif depuis juillet

Ces attaques en cours ont commencé dès novembre 2020, selon les chercheurs de SentinelOne, avec une augmentation de l’activité à partir de juillet et début août.

Une fois qu’il infecte un Mac, AdLoad installe un proxy Web Man-in-The-Middle (MiTM) pour détourner les résultats des moteurs de recherche et injecter des publicités dans les pages Web pour un gain monétaire.

Il gagnera également en persistance sur les Mac infectés en installant des LaunchAgents et des LaunchDaemons et, dans certains cas, des tâches cron utilisateur qui s’exécutent toutes les deux heures et demie.

En surveillant cette campagne, les chercheurs ont observé plus de 220 échantillons, dont 150 uniques et non détectés par l’antivirus intégré d’Apple, même si XProtect est désormais livré avec environ une douzaine de signatures AdLoad.

De nombreux échantillons détectés par SentinelOne sont également signés avec des certificats d’identification de développeur valides émis par Apple, tandis que d’autres sont également notariés pour s’exécuter sous les paramètres par défaut de Gatekeeper.

Signatures XProtect AdLoad
Signatures XProtect AdLoad (SentinelOne)

« Au moment de la rédaction, XProtect a été mis à jour pour la dernière fois vers le 15 juin. Aucun des échantillons que nous avons trouvés n’est connu de XProtect car ils ne correspondent à aucun des ensembles actuels de règles Adload du scanner », a conclu SentinelOne.

« Le fait que des centaines d’échantillons uniques d’une variante de logiciel publicitaire bien connue circulent depuis au moins 10 mois et ne soient toujours pas détectés…

Voir la source de cette publication