Un nuevo estudio de SentinelLabs encontró 150 nuevas muestras del adware que, según ellos, «permanecen sin ser detectadas por el escáner de malware en el dispositivo de Apple».
Después de identificar AdLoad como un cargador de adware y bundleware que actualmente afecta a macOS en 2019, la compañía de ciberseguridad dijo que ha visto 150 nuevas muestras del adware que, según ellos, «permanecen sin ser detectadas por el escáner de malware en el dispositivo de Apple». Algunas de las muestras incluso fueron certificadas ante notario por Apple, según el informe.
Apple usa el sistema de seguridad XProtect para detectar malware en todas las Mac y originalmente creó un esquema de protección contra AdLoad, que ha flotado en Internet desde al menos 2017, según el informe.
XProtect ahora tiene alrededor de 11 firmas diferentes para AdLoad, algunas de las cuales cubren la versión 2019 del adware SentinelLabs encontrado ese año. Pero la última campaña descubierta no está protegida por nada en XProtect, según la compañía.
«En 2019, ese patrón incluía una combinación de las palabras ‘Buscar’, ‘Resultado’ y ‘Daemon’, como en el ejemplo que se muestra arriba: ‘ElementarySignalSearchDaemon’. Se pueden encontrar muchos otros ejemplos aquí. La variante 2021 usa un patrón diferente que se basa principalmente en una extensión de archivo que es .system o .service «, explicaron los investigadores.
«La extensión de archivo que se use depende de la ubicación del archivo de persistencia eliminado y del ejecutable, como se describe a continuación, pero normalmente los archivos .system y .service se encontrarán en el mismo dispositivo infectado si el usuario otorgó privilegios al instalador».
Los investigadores han descubierto alrededor de 50 patrones de etiquetas diferentes y encontraron que los goteros utilizados comparten el mismo patrón que los goteros Bundlore / Shlayer.
«Usan una Player.app falsa montada en un DMG. Muchos están firmados con una firma válida; en algunos casos, incluso se sabe que están notarizados», dice el informe.
«Por lo general, observamos que Apple revoca los certificados de desarrollador utilizados para firmar los cuentagotas en cuestión de días (a veces, horas) después de que se observan las muestras en VirusTotal, lo que ofrece una protección tardía y temporal contra futuras infecciones de esas muestras firmadas en particular mediante Comprobaciones de firmas de Gatekeeper y OCSP. Por lo general, también vemos nuevas muestras firmadas con certificados nuevos que aparecen en cuestión de horas y días. En verdad, es un juego de whack-a-mole «.
SentinelLabs cita una investigación de analistas de Confiant que confirma que las muestras en la naturaleza han sido notariadas por Apple.
Las muestras comenzaron a aparecer en noviembre de 2020 y se hicieron más prominentes en 2021. Hubo un aumento aún más agudo en julio y agosto a medida que más atacantes intentan aprovechar las brechas de XProtect antes de que se cierren.
La última actualización de XProtect fue el 18 de junio, según SentinelLabs. Apple no respondió a las solicitudes de comentarios.
A pesar de la falta de protección de XProtect, otros proveedores tienen sistemas para detectar el malware.
«Como la propia Apple ha señalado y lo describimos en otro lugar, el malware en macOS es un problema que el fabricante del dispositivo está luchando para enfrentar», dice el informe.