Некоторые образцы трояна AdLoad обходят встроенную защиту Apple macOS

Некоторые образцы трояна AdLoad обходят встроенную защиту Apple macOS

Новый образец вредоносной программы AdLoad, заточенной под работу в операционной системе macOS, способен обходить встроенную защиту — XProtect. Участие AdLoad в нескольких кампаниях зафиксировали специалисты SentinelOne.

AdLoad — довольно распространённый троян у киберпреступников, атакующих macOS-компьютеры. Вредонос известен как минимум с 2017 года, а проникнув в систему, он может устанавливать дополнительный зловредный софт или нежелательные программы (PUA).

Помимо этого, AdLoad собирает информацию о заражённой системе, которая позже отравляется на удалённые серверы, находящиеся под контролем злоумышленников.

Как отметил Фил Стоукс из SentinelOne, массовые атаки с участием AdLoad набирают обороты с ноября 2020 года. Скачок этой активности зафиксирован в июле и начале августа 2021 года. Как только AdLoad попадает в macOS, он устанавливает веб-прокси по принципу «Человек посередине» (Man-in-The-Middle, MiTM), чтобы перехватывать поисковую выдачу и внедрять туда рекламу.

Именно так операторы трояна зарабатывают деньги. Также вредоносная программа устанавливает LaunchAgents и LaunchDaemons и в некоторых случаях — задачи по крону, которые запускаются каждые два с половиной часа. Такой механизм позволяет AdLoad закрепиться в системе.

Наблюдая за кампаниями злоумышленников, Стоукс обнаружил 220 образцов вредоноса, 150 из которых являются уникальными (у них отсутствует детектирование XProtect). Это впечатляет, учитывая, что у XProtect в наличии есть десятки сигнатур AdLoad.

 

Интересно, что многие семплы, пойманные SentinelOne, подписаны валидными сертификатами, выпущенными Apple (Developer ID). Стоукс подчеркнул, что наличие уникальных образцов хорошо известного вредоноса настораживает, особенно учитывая тот факт, что даже спустя десять месяцев встроенный сканер Apple не может детектировать отдельные семплы.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Внешний злоумышленник может проникнуть в локальную сеть 93% компаний

Как выяснили специалисты компании Positive Technologies, внешний киберпреступник может в 93% случаев пробраться сквозь сетевой периметр и получить доступ к локальной сети атакуемой организации. Более того, в среднем злоумышленник тратит два дня на проникновение во внутреннюю сеть.

Такую статистику удалось получить благодаря тестированию на проникновение, которое специалисты провели среди организаций разных сфер: финансовой (29%), ТЭК (18%), госсектора (16%), промышленности (16%) и ИТ (13%).

В ходе исследования эксперты Positive Technologies смогли пройти сетевой периметр 93% «подопытных» проектов. Как отметила Екатерина Килюшева, возглавляющая исследовательскую группу, в 20% проектов компания провела верификацию недопустимых ИБ-событий.

«В общей сложности нам удалось подтвердить реализацию 71% обозначенных событий. На такую атаку, к слову, злоумышленнику потребуется не больше месяца. Некоторые системы могут сдаться и за считаные дни», — подчёркивает Килюшева.

Что касается уровня защищённости кредитных организаций, они остались одними из самых стойких, однако исследователям всё равно удалось выполнить действия, нарушающие бизнес-процессы банка и влияющие на оказываемые услуги.

Самым главным методом проникновения в корпоративную сеть стал подбор учётных данных, который дал результат в 71% проектов.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru