دور زدن سد امنیتی سیستم های مبتنی بر مک توسط نسخه جدید AdLoad
اخبار داغ فناوری اطلاعات و امنیت شبکهموج جدیدی از حملات شامل گروهی از نرم افزارهای مخرب تبلیغاتی macOS تکامل یافته و تنها در سال 2021 از 150 نمونه منحصر به فرد در فضای سایبری استفاده شده است؛ برخی از آنها از سد اسکنر بدافزار دستگاه اپل عبور کرده و حتی توسط سرویس مستندات رسمی دستگاه نیز با تلاشهای نرم افزاری مخرب برای تطابق خود و فرار از امکان تشخیص، تایید شده اند.
نرم افزار "AdLoad" که تحت عنوان یک بدافزار شناخته میشود، یکی از چندین لودرهای تبلیغات مزاحم و نرم افزار تبلیغاتی است که حداقل از سال 2017، macOS را هدف قرار داده است. این برنامه می تواند یک سیستم آسیب دیده را با بهره گیری از backdoor برای دانلود و نصب برنامه های تبلیغاتی مزاحم یا برنامه های بالقوه ناخواسته (PUP) و همچنین جمع آوری و انتقال اطلاعات دستگاه های قربانی، تحت تاثیر قرار دهد.
فیل استوکس، محقق تهدیدات امنیتی SentinelOne، در تحلیلی که هفته گذشته منتشر شد، گفت: " این تکرار مکرر حملات همچنان کاربران Mac را که تنها برای کنترل بدافزارها به کنترل امنیتی داخلی XProtect اپل متکی هستند، تحت تاثیر قرار میدهد. از امروز، با این حال که XProtect به طور حتم دارای 11 تاییدیه مختلف برای AdLoad است، اما نوع مورد استفاده در این کمپین جدید توسط هیچ یک از این قوانین و پروتکل ها قابل تشخیص نیستند".
نسخه 2021 AdLoad به نام اصلی و اجرایی که از الگوی پسوند فایل مختلفی (.system یا .service) استفاده می کنند، متصل می شود. این ویژگی، بدافزار را قادر می سازد از حفاظ های امنیتی اضافی که توسط اپل در دستگاه ها گنجانده شده است، در نهایت منجر به نصب یک عامل ماندگاری شود عبور کند. این عمل به نوبه خود باعث ایجاد یک زنجیره حمله برای نصب دراپرهای مخرب می شود که برای نصب بدافزار با عنوان جعلی Player.app ظاهر می شوند.
استوکس خاطر نشان کرد: علاوه بر این، دراپرها با تاییدیه معتبر و با استفاده از گواهی های توسعه دهنده تایید می شوند و باعث می شوند اپل گواهی نامه ها را "ظرف چند روز (گاهی چند ساعت) از نمونه هایی که در VirusTotal مشاهده می شوند، لغو کند، و به طبع آن محافظت دیرهنگام و موقتی در برابر آلودگی های بیشتر که توسط افراد خاص مانند نمونه هایی که با استفاده از بررسی تاییدیه های Gatekeeper و OCSP، تایید شده است، ارائه دهد.
مجموعه SentinelOne اعلام کرد نمونه های جدیدی را که طی چند ساعت و چند روز با گواهینامه های جدید امضا شده اند، شناسایی کرده و آن را "game of whack-a-mole" نامیده است. گفته می شود اولین نمونه های AdLoad در نوامبر 2020 ظاهر شده اند و با وقایع بعدی در نیمه اول سال 2021 ادامه یافته و به دنبال آن با افزایش شدید در طول ماه جولای و به ویژه هفته های اولیه آگوست 2021 همراه بوده است.
بدافزاز AdLoad در بین گروه های بدافزارها، در کنار Shlayer قرار میگیرد که XProtect را دور زده و مک ها را با سایر داده های مخرب، آلوده می کند. در آوریل 2021، اپل به طور فعال در مورد نقص روز صفر در سرویس Gatekeeper اطلاعرسانی کرد (CVE-2021-30657)، که توسط اپراتورهای Shlayer برای استقرار نرم افزارهای تأیید نشده در سیستم های آسیب دیده مورد سوء استفاده قرار گرفته بود.
استوکس افزود: "بدافزار در macOS مشکلی است که سازنده دستگاه برای مقابله با آن تلاش خود را می کند. این واقعیت که صدها نمونه منحصر به فرد از یک نوع تبلیغ معروف برای حداقل 10 ماه در حال فعالیت بوده اند و هنوز توسط اسکنر بدافزار داخلی اپل کشف نشده اند، ضرورت افزودن کنترل های امنیتی اندپوینت بیشتر به دستگاه های Mac را نشان می دهد".
برچسب ها: certificates, Adware, Shlayer, OCSP, Gatekeeper, Player.app, AdLoad, XProtect, SentinelOne, Virustotal, مک, Mac, macOS, cybersecurity, Apple, اپل, malware, backdoor, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری