AdLoad-Malware 2021-Proben kommen an Apple XProtect vorbei

  • Eine Flut neuer Angriffe mit der bekannten Adware umfasst mindestens 150 aktualisierte Muster, von denen viele von Apples integrierten Sicherheitskontrollen nicht erkannt werden.

    Eine anschwellende Welle von AdLoad-Malware-Infektionen auf macOS-Geräten bahnt sich ihren Weg an Apples geräteeigenem Malware-Scanner vorbei, so Forscher. Die Kampagne verwendet etwa 150 einzigartige Muster, von denen einige von Apples Beglaubigungsdienst signiert sind.

    AdLoad ist eine bekannte Apple-Bedrohung, die schon seit Jahren im Umlauf ist. Es handelt sich im Wesentlichen um einen Trojaner, der eine Hintertür auf dem betroffenen System öffnet, um Adware oder potenziell unerwünschte Programme (PUPs) herunterzuladen und zu installieren. Er ist auch in der Lage, Informationen über die Computer der Opfer zu sammeln und zu übermitteln, wie z. B. den Benutzernamen und den Computernamen. Es wurde auch schon beobachtet, dass er Suchmaschinenergebnisse entführt und Werbung in Webseiten einblendet.

    In letzter Zeit hat er seine Taktik geändert und eine Möglichkeit geschaffen, die bordeigene Sicherheit zu umgehen.

    [Blocked Image: https://alltechnews.de/daten/2021/08/Kaseyas-Master-Key-fuer-REvil-Attacke-online-veroeffentlicht.png]

    “In diesem Jahr haben wir eine weitere Iteration gesehen, die sich auf Mac-Nutzer auswirkt, die sich bei der Malware-Erkennung ausschließlich auf Apples integrierte Sicherheitskontrolle XProtect verlassen”, so Phil Stokes, Forscher bei SentinelOne’s SentinelLabs, in einem Posting vom Mittwoch. “XProtect hat wohl 11 verschiedene Signaturen für AdLoad [but] die in dieser neuen Kampagne verwendete Variante wird von keiner dieser Regeln erkannt.”

    Die AdLoader-Infektionsroutine

    Die 2021er-Varianten von AdLoad haben einen neuen Infektionsansatz, so der Forscher. Laut Stokes’ technischer Analyse beginnen sie ihren Angriff mit der Installation eines Persistenzagenten im Library LaunchAgents-Ordner des Benutzers, wobei sie entweder die Dateierweiterung .system oder .service verwenden.

    Wenn sich der Benutzer anmeldet, führt dieser Persistenz-Agent eine Binärdatei aus, die im Ordner ~/Library/Application Support/ des gleichen Benutzers versteckt ist. Dieser Ordner in Application Support enthält wiederum ein weiteres Verzeichnis namens /Services/, das wiederum ein “minimales Anwendungsbündel” enthält, wie Stokes erklärte.

    Dieses Bündel enthält einen ausführbaren Dropper mit demselben Namen. Außerdem gibt es eine versteckte Tracker-Datei namens .logg, die einen universell eindeutigen Bezeichner (UUID) für das Opfer enthält; sie ist ebenfalls im Ordner Application Support enthalten, so Stokes.

    Bei den Droppern handelt es sich um leicht verschleierte Zsh-Skripte, die mehrmals entpackt werden, bevor sie schließlich die Malware (ein Shell-Skript) aus dem Verzeichnis /tmp ausführen, so Stokes. Viele von ihnen sind signiert oder notariell beglaubigt.

    “Typischerweise beobachten wir, dass die Entwicklerzertifikate, die zum Signieren der Dropper verwendet werden, von Apple innerhalb weniger Tage (manchmal Stunden) nach der Beobachtung der Samples auf VirusTotal widerrufen werden, was einen verspäteten und vorübergehenden Schutz gegen weitere Infektionen durch diese speziellen signierten Samples mittels Gatekeeper- und OCSP-Signaturprüfungen bietet”, so Stokes. “In der Regel tauchen innerhalb weniger Stunden oder Tage neue, mit neuen Zertifikaten signierte Muster auf. Es ist wirklich ein Spiel mit dem Maulwurf.”

    In jedem Fall ist die endgültige Nutzlast der aktuellen Version von Apples XProtect, v2149, nicht bekannt”, erklärte er.

    Ausnutzung von Apple XProtect-Lücken

    Die Forscher von SentinelLabs beobachteten die neuesten AdLoader-Samples in Kampagnen, die bereits im November letzten Jahres begannen, aber erst in diesem Sommer – insbesondere im Juli und August – begann das Volumen der Angriffe und Samples stark anzusteigen.

    “Es scheint durchaus möglich, dass die Malware-Entwickler die Lücke in XProtect ausnutzen… Zum Zeitpunkt der Erstellung dieses Artikels wurde XProtect zuletzt um den 15. bis 18. Juni auf die Version 2149 aktualisiert”, so Stokes, der hinzufügt, dass die Malware eine hohe Erkennungsrate in VirusTotal hat. “Die Tatsache, dass Hunderte von einzelnen Exemplaren einer bekannten Adware-Variante seit mindestens 10 Monaten im Umlauf sind und dennoch von Apples integriertem Malware-Scanner unentdeckt bleiben, zeigt, wie notwendig es ist, weitere Endpunkt-Sicherheitskontrollen für Mac-Geräte einzuführen.”

    Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Registrieren Sie sich jetzt für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs. Finden Sie heraus, wo genau Angreifer Sie ins Visier nehmen und wie Sie zuerst dorthin gelangen können. Seien Sie dabei, wenn Moderatorin Becky Bracken und die Uptycs-Forscher Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST an dieser LIVE-Diskussion teilnehmen.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com