Apple a rempli son outil de détection de malwares sur macOS X d'une longue liste de signatures qui visent un acteur en particulier qui sévit depuis 7 à 8 ans.
74 définitions différentes du malware Adload ont été ajoutées au répertoire d'XProtect, la technologie antivirus qu'Apple utilise pour détecter et agir sur des malwares qui ont pris leur quartier sur Mac. AdLoad a été repéré la première fois autour de 2016 et c'est l'année suivante qu'Apple a commencé à intégrer ses caractéristiques dans la base de données XProtect intégrée à macOS.
Son mode opératoire consiste à se glisser dans les bagages d'une application — longtemps il utilisait de faux installeurs Flash comme cheval de Troie — et s'installer dans le système. Puis, lorsqu'il est en place, il redirige l'utilisateur vers des sites de son choix et injecte dans les pages web des publicités qui font les bonnes affaires des créateurs de cet intrus.
Au fil du temps, Apple a mis à jour la base d'XProtect avec de nouvelles références d'AdLoad, mais celui-ci ne cesse de se multiplier et de prendre de nouvelles identités. Ses auteurs sont parfois parvenus à obtenir une notarisation de leur installeur, leur permettant ainsi de passer sous les fourches caudines de Gatekeeper. Un jeu du chat et de la souris dans lequel Apple vient de passer à la vitesse supérieure.
Le chercheur Howard Oakley a remarqué que 74 nouvelles règles pour identifier des variantes d'AdLoad avaient été ajoutées d'un seul coup d'un seul à XProtect. Le fichier Yara qui regroupe toutes ces règles pour repérer des malwares a grossi d'une seule traite de 20 %, note Oakley. En septembre dernier, 9 définitions seulement avaient été glissées.
Depuis quelques versions de macOS, Apple est également montée en régime avec la fréquence d'analyse d'XProtect. Celles-ci sont beaucoup plus fréquentes que par le passé pour scanner les fichiers ou les exécutables de tierces parties en passe d'être lancés.
macOS Sonoma devrait bientôt se montrer plus agressif dans sa détection des malwares
Dans le cas où un problème est constaté, le programme suspect est bloqué dans son exécution et macOS propose à l'utilisateur de l'envoyer à la corbeille. D'autres actions sont ensuite entreprises, comme l'explique la page d'information d'Apple, pour révoquer le certificat d'identification du compte développeur à l'origine de ce malware et mettre à jour la base d'XProtect. Cette dernière s'actualise toute seule, sans intervention de l'utilisateur.
