美国网络安全公司SentinelOne跟踪发现一种新的AdLoad恶意软件变种，正在通过 Apple基于YARA签名的XProtect内置防病毒技术感染Mac。

AdLoad是一种针对macOS平台的广泛木马 ，至少自 2017年末以来用于部署各种恶意负载，包括广告软件和潜在不需要的应用程序 (PUAs)，该恶意软件还可以获取系统信息，随后发送到其运营商控制的远程服务器。

七月以来越来越活跃

根据SentinelOne威胁研究员的说法，这些大规模和持续的攻击最早在2020年11月就开始了，从今年7月、8月初开始活动增加。

一旦感染Mac，AdLoad就会安装一个中间人(MiTM)网络代理来劫持搜索引擎的结果，并将广告注入网页以获取利润。

通过安装LaunchAgents和LaunchDaemons以及在某些情况下每两个半小时运行一次的用户cronjobs，它还可以在受感染的Mac上持续运行。

在监控此活动时，研究人员观察到220多个样本，其中150个样本是独一无二的，并且没有被Apple的内置防病毒软件检测到，尽管XProtect现在带有大约十几个AdLoad签名。

SentinelOne检测到的许多样本也使用Apple颁发的有效开发者ID证书进行签名，而其他样本也经过公证以在默认Gatekeeper设置下运行。

目前发现XProtect上次更新是 6月15日左右。

“数百个知名广告软件变种的独特样本已经传播了至少10个月，但苹果内置恶意软件扫描仪仍未检测到这一事实表明，有必要为Mac设备添加进一步的终端安全控制。”

难以忽视的威胁

从这个角度来看，另一种常见的macOS恶意软件Shlayer也曾绕过XProtect，并通过其他恶意负载感染mac电脑，它已经攻击了卡巴斯基监控的超过10%的苹果电脑。

它的开发者还通过苹果的自动公证程序获得了他们的恶意软件，并包括禁用Gatekeeper保护机制的能力，以运行未签名的第二阶段有效负载。

Shlayer最近还利用macOS 0day绕过苹果的文件隔离、Gatekeeper和公证安全检查，并在受影响的mac电脑上下载第二阶段恶意负载。

虽然AdLoad和Shlayer现在只部署广告软件和捆绑软件作为次级有效载荷，但它们的创造者可以随时迅速切换到更危险的恶意软件，包括勒索软件或雨刷。

苹果软件部门负责人克雷格·费代里吉在5月份Epic Games与苹果公司的庭审中作证时称:“今天，我们发现Mac上的恶意软件已经到了我们无法接受的程度，比iOS还要糟糕得多。”

网络安全问题关系着社会科技的进步与发展，做好网络安全防御势在必行。在日常生活中，除了需要及时更新软件补丁修复漏洞，尽可能缩短0day漏洞在系统和应用软件中的存在时间，还有以下2点需要做好：

1，从外部上加强网络入侵防御系统建设

入侵防御系统本质上是入侵检测系统和防火墙的有机结合，对于网络入侵防御系统(NIPS)而言，在网络环境中的部署应当注意对攻击的防范。在网络边界方面，NIPS工作的重点在于执行对于数据流的分析，从传输特征和协议两个方面展开对于传输请求的检查。

2，从软件内部上加强代码安全减少系统漏洞

数据显示，超过六成的安全漏洞与代码有关，代码静态分析技术可以帮助用户减少30-70%的安全漏洞。做好代码静态检测，可以防范那些绕过防火墙躲过病毒查杀的攻击者，从内部减少系统缺陷稳固系统安全，减少数据泄露事件的发生。

参读链接：

https://www.woocoom.com/b021.html?7&id=7d54fa78104a4998923a59873a788d20

bleepingcomputer.com/news/apple/new-adload-malware-variant-slips-through-apples-xprotect-defenses/

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)