AdLoad est un cheval de Troie très répandu qui cible la plate-forme macOS. Il est capable de backdoorer un système affecté pour télécharger et installer des adwares ou des programmes potentiellement indésirables (PUP), ainsi que de récolter et de transmettre des informations sur la machine de la victime.

Une nouvelle variante du malware AdLoad se propage à travers l'antivirus intégré XProtect d'Apple, basé sur la signature YARA, pour infecter les Macs dans le cadre de multiples campagnes suivies par la société de cybersécurité SentinelOne.

Ces attaques massives et continues ont commencé dès novembre 2020, selon Phil Stokes, chercheur en cyber-menaces chez SentinelOne, avec une augmentation de l'activité à partir de juillet et début août.

Une fois qu'il a infecté un Mac, AdLoad installe un proxy Web de type "Man-in-The-Middle" (MiTM) pour détourner les résultats des moteurs de recherche et injecter des publicités dans les pages Web à des fins lucratives. Il s'installe également sur les Macs infectés en installant des LaunchAgents et des LaunchDaemons, et dans certains cas, des cronjobs (tâches préprogrammées) utilisateur qui s'exécutent toutes les deux heures et demie.

Shlayer, une autre variété de logiciels malveillants pour macOS, qui a déjà réussi à contourner XProtect et à infecter des Mac avec d'autres charges utiles malveillantes, a touché plus de 10 % de tous les ordinateurs Apple surveillés par Kaspersky. Ses créateurs ont également fait passer leurs logiciels malveillants par le processus de notarisation automatisé d'Apple et ont inclus la possibilité de désactiver le mécanisme de protection Gatekeeper pour exécuter des charges utiles de deuxième étape non signées. Shlayer a également exploité récemment un 0-day de macOS pour contourner les contrôles de sécurité de File Quarantine, Gatekeeper et Notarization d'Apple et télécharger des charges utiles malveillantes de deuxième phase sur des Macs compromis.

Tandis qu'AdLoad et Shlayer ne déploient désormais que des adwares et des bundlewares en tant que charges utiles secondaires, leurs créateurs peuvent rapidement passer à des malwares plus dangereux, notamment des ransomwares ou des wipers, à tout moment.

"Aujourd'hui, nous avons un niveau de logiciels malveillants sur le Mac que nous ne trouvons pas acceptable et qui est bien pire que celui d'iOS", a déclaré Craig Federighi, responsable des logiciels chez Apple, sous serment lors de son témoignage dans le procès Epic Games contre Apple en mai.

Au final, les centaines de variantes de logiciels publicitaires bien connus qui circulent depuis au moins 10 mois et qui n'ont toujours pas été détectées par l'analyseur de logiciels malveillants intégré d'Apple attestent que la sécurité des appareils Mac doit être renforcée.