Varian baru malware AdLoad mampu melewati teknologi antivirus bawaan Apple, XProtect, untuk menginfeksi macOS. XProtect adalah solusi berbasis tanda tangan Apple YARA yang digunakan untuk mendeteksi malware yang tampaknya gagal mendeteksi varian baru.
Apa yang telah terjadi?
Seperti dilaporkan oleh peneliti SentinelOne, beberapa serangan yang sedang berlangsung dimulai pada November tahun lalu dan peningkatan aktivitas terdeteksi dari awal Juli hingga awal Agustus.
•Para peneliti telah mengamati lebih dari 220 sampel, 150 di antaranya tidak terdeteksi oleh XProtect, antivirus bawaan Apple. Sekarang, ini diperbarui dengan sekitar selusin tanda tangan AdLoad.
•Banyak sampel yang ditemukan oleh SentinelOne ditandatangani dengan sertifikat ID Pengembang asli yang dikeluarkan oleh Apple, sementara yang lain dibuat untuk dijalankan pada pengaturan Gatekeeper default.
Menurut perusahaan keamanan siber SentinelOne, varian malware ini telah menjadi bagian dari beberapa kampanye.
Teknik Bypass
•Selama serangan, setelah adware menginfeksi Mac, ia menginstal proxy web Man-in-the-Middle (MITM) untuk membajak hasil mesin pencari. Iklan kemudian disuntikkan ke halaman web untuk keuntungan finansial.
• Setelah infeksi, ia memperoleh kegigihan pada Mac yang disusupi dengan menginstal LaunchDaemons dan LaunchAgents. Dalam beberapa kasus, tugas cron pengguna dijalankan setiap dua setengah jam.
Infeksi serupa sebelumnya
AdLoad bukan satu-satunya keluarga malware yang dapat melewati keamanan bawaan produk Apple. Keluarga malware lain telah ditemukan mampu melewati keamanan bawaan di dalam sistem Mac.
Pada bulan Mei, eksploitasi zero-day terdeteksi dalam rilis macOS terbaru (CVE-2021-30713). Itu bisa saja disalahgunakan untuk melewati kerangka Persetujuan dan Kontrol Transparansi (TCC).
Pada bulan April, kerentanan zero-day lainnya dieksploitasi oleh malware Shlayer untuk melewati pemeriksaan keamanan Gatekeeper, File Quarantine, dan Notarization Apple untuk mengunduh payload tahap kedua.
Kesimpulan
Ratusan sampel unik adware AdLoad terkenal beredar di alam liar tanpa terdeteksi selama hampir sepuluh bulan, yang membutuhkan perhatian segera. Ini menunjukkan bahwa penyerang semakin pintar dari hari ke hari dan menekankan perlunya lapisan keamanan tambahan untuk melindungi perangkat Mac.
