SentinelLabs a publié un nouveau rapport sur la découverte d’une nouvelle campagne de logiciels adwares ciblant Apple. Une nouvelle variante du malware AdLoad se faufile à travers l’antivirus intégré XProtect d’Apple. 

AdLoad est un malware très répandu qui cible la plateforme macOS depuis au moins la fin 2017 et qui est utilisé pour déployer diverses menaces notamment des adwares et des applications potentiellement indésirables. Ce malware peut également récolter des informations “système” qui sont ensuite envoyées à des serveurs distants contrôlés par ses opérateurs.

De plus en plus actives depuis juillet

Ces attaques massives et continues ont commencé dès novembre 2020, selon Phil Stokes, chercheur en menaces chez SentinelOne, avec une augmentation de l’activité à partir de juillet et début août de cette année. Une fois qu’il a infecté un Mac, AdLoad installe un proxy Web de type “Man-in-The-Middle” (MiTM) pour détourner les résultats des moteurs de recherche et injecter des publicités dans les pages Web à des fins lucratives.

En surveillant cette campagne, le chercheur a observé plus de 220 échantillons, dont 150 sont uniques et non détectés par l’antivirus intégré d’Apple. Un grand nombre des échantillons détectés par SentinelOne sont également signés avec des certificats Developer ID valides émis par Apple, tandis que d’autres sont également conçus pour fonctionner avec les paramètres par défaut de Gatekeeper.

Crédit photo : SentinelLabs

Au moment de la rédaction de ce document, XProtect a été mis à jour pour la dernière fois autour du 15 juin 2021. Aucun des échantillons que nous avons trouvés n’est connu de XProtect, car ils ne correspondent à aucune des règles actuelles de l’analyseur en matière d’Adload“, conclut Stokes.

XProtect dispose d’environ 11 signatures différentes pour AdLoad, dont certaines couvrent la version 2019 de l’adware que SentinelLabs a découvert cette année-là. Mais la dernière campagne découverte n’est protégée par rien dans XProtect, selon l’entreprise.