Một làn sóng tấn công mới liên quan đến một dòng phần mềm quảng cáo macOS khét tiếng đã phát triển để tận dụng khoảng 150 mẫu duy nhất trong tự nhiên chỉ trong năm 2021, một số trong số đó đã vượt qua trình quét phần mềm độc hại trên thiết bị của Apple và thậm chí được ký bởi dịch vụ công chứng của chính nó, làm nổi bật mã độc phần mềm liên tục nỗ lực để thích ứng và tránh bị phát hiện.
AdLoad là một trong số nhiều trình tải phần mềm quảng cáo và gói phần mềm quảng cáo rộng rãi nhắm mục tiêu đến macOS ít nhất là từ năm 2017. Nó có khả năng sao lưu một hệ thống bị ảnh hưởng để tải xuống và cài đặt phần mềm quảng cáo hoặc các chương trình không mong muốn (PUP), cũng như tích lũy và truyền thông tin về máy nạn nhân.
Nhà nghiên cứu về mối đe dọa của SentinelOne, Phil Stokes, cho biết trong một phân tích được công bố tuần trước, lần lặp lại mới “tiếp tục tác động đến những người dùng Mac chỉ dựa vào tính năng kiểm soát bảo mật XProtect được tích hợp sẵn của Apple để phát hiện phần mềm độc hại”. Tuy nhiên, cho đến ngày hôm nay, XProtect được cho là có khoảng 11 chữ ký khác nhau cho AdLoad [nhưng] biến thể được sử dụng trong chiến dịch mới này không bị phát hiện bởi bất kỳ quy tắc nào trong số đó.
Phiên bản năm 2021 của AdLoad bám vào các tên bền bỉ và có thể thực thi sử dụng mẫu mở rộng tệp khác (.system hoặc .service), cho phép phần mềm độc hại vượt qua các biện pháp bảo vệ bổ sung do Apple tích hợp, cuối cùng dẫn đến việc cài đặt tác nhân bền vững, do đó, kích hoạt chuỗi tấn công để triển khai các phần mềm nhỏ giọt độc hại giả dạng Player.app giả mạo để cài đặt phần mềm độc hại.
Hơn nữa, các ống nhỏ giọt được ký bằng chữ ký hợp lệ bằng cách sử dụng chứng chỉ của nhà phát triển, khiến Apple thu hồi chứng chỉ trong vòng vài ngày đối với các mẫu được quan sát trên VirusTotal, cung cấp một số biện pháp bảo vệ tạm thời và muộn màng chống lại sự lây nhiễm thêm bởi những người cụ thể đó Stokes lưu ý.
SentinelOne cho biết họ đã phát hiện thấy các mẫu mới được ký với các chứng chỉ mới trong vài giờ và vài ngày, gọi đó là “trò chơi của một con chuột chũi.” Các mẫu AdLoad đầu tiên được cho là đã xuất hiện sớm nhất vào tháng 11 năm 2020, với các lần xuất hiện tiếp theo thường xuyên trong nửa đầu năm 2021, tiếp theo là sự gia tăng mạnh mẽ trong suốt tháng 7 và đặc biệt là những tuần đầu của tháng 8 năm 2021.
AdLoad nằm trong số các họ phần mềm độc hại, cùng với Shlayer, được biết là đã vượt qua XProtect và lây nhiễm cho máy Mac bằng các tải trọng độc hại khác. Vào tháng 4 năm 2021, Apple đã giải quyết một lỗ hổng zero-day bị khai thác tích cực trong dịch vụ Gatekeeper ( CVE-2021-30657 ) đã bị các nhà khai thác Shlayer lạm dụng để triển khai phần mềm chưa được phê duyệt trên các hệ thống bị xâm phạm.
Stokes nói: “Phần mềm độc hại trên macOS là một vấn đề mà nhà sản xuất thiết bị đang phải đối phó. Thực tế là hàng trăm mẫu duy nhất của một biến thể phần mềm quảng cáo nổi tiếng đã được lưu hành trong ít nhất 10 tháng và vẫn không bị phát hiện bởi trình quét phần mềm độc hại tích hợp của Apple cho thấy sự cần thiết của việc bổ sung thêm các biện pháp kiểm soát bảo mật điểm cuối cho các thiết bị Mac.”
Fanpage: Trí Việt JSC (Theo thehackernews)