La nueva variante de malware AdLoad se cuela a través de las defensas XProtect de Apple

Una nueva variante de malware AdLoad se está filtrando a través del antivirus incorporado XProtect basado en firmas YARA de Apple, para infectar Mac como parte de múltiples campañas rastreadas SentinelOne. AdLoad es un troyano generalizado que se dirige a la plataforma macOS desde al menos desde finales de 2017 y se utiliza para implementar […]

Una nueva variante de malware AdLoad se está filtrando a través del antivirus incorporado XProtect basado en firmas YARA de Apple, para infectar Mac como parte de múltiples campañas rastreadas SentinelOne.

AdLoad es un troyano generalizado que se dirige a la plataforma macOS desde al menos desde finales de 2017 y se utiliza para implementar varias cargas útiles maliciosas, incluidos programas publicitarios y aplicaciones potencialmente no deseadas (PUA).

Este malware también puede recolectar información del sistema que luego se envía a servidores remotos controlados por sus operadores.

Estos ataques a gran escala y en curso comenzaron en noviembre de 2020, según el investigador de amenazas de SentinelOne, Phil Stokes, con un aumento en la actividad a partir de julio y principios de agosto.

Una vez que infecta una Mac, AdLoad instalará un proxy web Man-in-The-Middle (MiTM) para secuestrar los resultados del motor de búsqueda e inyectar anuncios en las páginas web para obtener ganancias monetarias.

También ganará persistencia en Mac infectadas al instalar LaunchAgents y LaunchDaemons y, en algunos casos, cronjobs de usuario que se ejecutan cada dos horas y media.

Mientras monitoreaba esta campaña, el investigador observó más de 220 muestras, 150 de ellas únicas y no detectadas por el antivirus integrado de Apple, a pesar de que XProtect ahora viene con aproximadamente una docena de firmas AdLoad.

Muchas de las muestras detectadas por SentinelOne también están firmadas con certificados válidos de ID de desarrollador emitidos por Apple, mientras que otras también están certificadas por notario para ejecutarse con la configuración predeterminada de Gatekeeper.

“En el momento de escribir este artículo, XProtect se actualizó por última vez alrededor del 15 de junio. Ninguna de las muestras que encontramos son conocidas por XProtect, ya que no coinciden con ninguna de las reglas de Adload actual del escáner”, concluyó Stokes.

“El hecho de que cientos de muestras únicas de una variante de adware conocida hayan estado circulando durante al menos 10 meses y, sin embargo, sigan sin ser detectadas por el escáner de malware integrado de Apple demuestra la necesidad de agregar más controles de seguridad de endpoints a los dispositivos Mac”.

Revisa el artículo completo acá.