Una nueva variante del malware AdLoad es capaz de eludir la tecnología antivirus integrada XProtect de Apple para infectar macOS. XProtect es la solución basada en firmas YARA de Apple que se utiliza para la detección de malware que aparentemente no pudo detectar la nueva variante.
Lo que ha sucedido
Como informaron los investigadores de SentinelOne, varios ataques en curso comenzaron en noviembre del año pasado y se detectó un aumento en la actividad desde principios de julio hasta principios de agosto.
- Los investigadores han observado más de 220 muestras, de las cuales 150 no fueron detectadas por XProtect, el antivirus integrado de Apple. Ahora, está actualizado con alrededor de una docena de firmas de AdLoad.
- Muchas de las muestras detectadas por SentinelOne están firmadas con certificados de ID de desarrollador genuinos emitidos por Apple, mientras que otras se crean para ejecutarse con la configuración predeterminada de Gatekeeper.
Según la firma de ciberseguridad SentinelOne, esta variante de malware ya ha sido parte de múltiples campañas.
Técnica de derivación
- Durante el ataque, una vez que el adware infecta una Mac, instala un proxy web Man-in-the-Middle (MITM) para secuestrar los resultados del motor de búsqueda. Posteriormente, los anuncios se inyectan en las páginas web para obtener beneficios económicos.
- Después de la infección, gana persistencia en Mac comprometidas al instalar LaunchDaemons y LaunchAgents. En algunos casos, los trabajos cron del usuario se ejecutan cada dos horas y media.
Infecciones similares anteriores
AdLoad no es la única familia de malware que puede eludir la seguridad incorporada de los productos Apple. Se han descubierto otras familias de malware capaces de eludir la seguridad incorporada dentro de los sistemas Mac.
- En mayo, se detectó un exploit de día cero en la última versión de macOS ( CVE-2021-30713 ). Se podría haber abusado de él para eludir el marco de Control y Consentimiento de Transparencia (TCC).
- En abril, el malware Shlayer aprovechó otra vulnerabilidad de día cero para evitar las comprobaciones de seguridad Gatekeeper, File Quarantine y Notarization de Apple para descargar cargas útiles de segunda etapa.
Conclusión
Cientos de muestras únicas de software publicitario AdLoad bien conocido estuvieron circulando en la naturaleza sin ser detectadas durante casi diez meses, lo que requiere atención inmediata. Indica que los atacantes se están volviendo más inteligentes con cada día que pasa y enfatiza la necesidad de capas adicionales de seguridad para proteger los dispositivos Mac.