Cybersecurity-Experten haben eine neue Variante der bekannten Adload-Malware entdeckt, die sogar die neuesten Updates von Apples integriertem Antivirus, XProtect, umgeht. Trotz Apples Bemühungen, seine Abwehrmechanismen durch ein bedeutendes Update der Malware-Signaturliste zu stärken, haben die Autoren von Adload schnell reagiert, wodurch diese neuen Maßnahmen gegen die neuesten Iterationen der Malware wirkungslos sind.

Umfassendes Update der Adload-Signaturen von Apple

Das Sicherheitsteam von Apple hat kürzlich ein umfangreiches Update für XProtect implementiert und in der Version 2192 74 neue Regeln sowie in Version 2193 weitere 10 Regeln hinzugefügt, die am 30. April veröffentlicht wurden. Dieses Update zielte darauf ab, die Adload-Adware zu bekämpfen, die eine anhaltende Bedrohung für macOS-Geräte darstellt.

Laut einem aktuellen Bericht von SentinelOne wurde jedoch eine neue Adload-Malware-Variante entdeckt, die in der Lage ist, die Erkennung durch den integrierten Virenschutz von macOS zu umgehen, was eine erhebliche Bedrohung für die Sicherheit von Mac-Systemen darstellt.

Anhaltende Bedrohung und neue Herausforderungen

Trotz der Bemühungen wurden neue Versionen von Adload identifiziert, die von XProtect und anderen Antivirus-Engines auf VirusTotal nicht erkannt werden. Diese Entwicklung unterstreicht die Anpassungsfähigkeit der Malware-Autoren und die Herausforderungen, denen sich Sicherheitsteams gegenübersehen, um mit den sich entwickelnden Bedrohungen Schritt zu halten.

Neue Adload-Go-Variante (Reload/Lador)

Unter den neuen Varianten hat insbesondere eine, die ausschließlich für die Intel x86_64-Architektur kompiliert wurde, eine nahezu vollständige Umgehung der Erkennung gezeigt, mit 0 oder nur 1 Erkennung unter den VirusTotal-Engines. Diese Variante fungiert als Initialdropper für die nächste Stufe des Payloads, ohne erkennbares Eltern-Executable, keine Anwendung oder kein Disk-Image, was darauf hindeutet, dass sie über geknackte oder trojanisierte Apps verbreitet wird.

Geringfügige Anpassungen ermöglichen Umgehung der XProtect-Signaturregel

Eine genauere Untersuchung der Binärdateien zeigt, dass es den Autoren der Malware trotz Apples gezielter Bemühungen gelungen ist, die Erkennung zu umgehen, indem sie geringfügige Änderungen vorgenommen haben, wie zum Beispiel die Ersetzung der Zeichenfolge main.DownloadURL durch main.dwnldUrl.

Diese subtile Änderung hat es den neuesten Adload-Samples ermöglicht, die Abwehr von XProtect zu umgehen, was das anhaltende Katz-und-Maus-Spiel zwischen Malware-Autoren und Sicherheitsteams unterstreicht.

Fazit und Empfehlungen

Da der Kampf gegen Malware wie Adload weitergeht, wird deutlich, dass die alleinige Abhängigkeit von integrierten Antiviruslösungen möglicherweise nicht ausreicht. Unternehmen und Einzelpersonen wird empfohlen, zusätzliche Sicherheitslösungen von Drittanbietern in Betracht zu ziehen, um umfassenden Schutz gegen diese und andere ausgeklügelte Bedrohungen zu gewährleisten. Für alle, die sich um die Sicherheit ihrer macOS-Geräte sorgen, ist es wichtiger denn je, zusätzliche Sicherheitsmaßnahmen zu erkunden und über die neuesten Bedrohungen und Erkennungsstrategien informiert zu bleiben.