新的AdLoad变体绕过苹果的安全防御系统，瞄准macOS系统

一个臭名昭著的MaOS AdSube家族的新浪潮已经演变成仅在2021左右利用野生150个独特的样本，其中一些已经通过苹果在设备上的恶意软件扫描仪，甚至通过自己的公证服务签署，突出了恶意软件正在进行的尝试以适应和逃避检测。

该恶意软件名为“AdLoad”，是至少自2017年以来针对macOS的几种广泛使用的广告软件和捆绑软件加载程序之一。它能够后门受影响的系统下载和安装广告软件或可能不需要的程序（PUP），以及收集和传输有关受害机器的信息。

SentinelOne威胁研究人员菲尔·斯托克斯（Phil Stokes）在上周发布的一份分析报告中说，新的迭代“继续影响那些完全依赖苹果内置的安全控制XProtect进行恶意软件检测的Mac用户”。“然而，截至今天，XProtect可以说有大约11种不同的AdLoad签名[但]这些规则中的任何一条都无法检测到这一新活动中使用的变体。”

AdStad的2021个版本使用不同的文件扩展模式（.Stor或.Service）来支持持久性和可执行的名称，使恶意软件能够绕过苹果所加入的附加安全保护，最终导致持久化代理的安装，而持久性代理则是触发攻击链，部署伪装成假玩家的恶意滴管。安装恶意软件的应用程序。

更重要的是，Dropper使用开发者证书的有效签名进行签名，斯托克斯指出，这促使苹果“在VirusTotal上观察到样本后的几天（有时是几个小时）内”撤销证书，通过把关人和OCSP签名检查，提供一些迟到的临时保护，防止这些特定签名样本进一步感染。

SentinelOne表示，它在几小时和几天内检测到新的样本，并签署了新的证书，称之为“打鼹鼠游戏”AdStad的第一个样本据说早在2020年11月就出现了，在2021上半年还经常出现，随后在七月，特别是2021年8月初的急剧上升。

AdLoad是与Shlayer一起的恶意软件家族之一，已知Shlayer绕过XProtect并用其他恶意有效负载感染Mac。在2021年4月，苹果在其守门服务（CVE-202130667）中积极开发了零日漏洞，该漏洞被SHAL运营商滥用，以在未经授权的系统上部署未经批准的软件。

斯托克斯说：“macOS上的恶意软件是这家设备制造商正在努力应对的问题。”。“数百个知名广告软件变体的独特样本已经流传了至少10个月，但仍然没有被苹果内置的恶意软件扫描仪检测到，这一事实表明，有必要在Mac设备上添加进一步的端点安全控制。”