16/08/23
AdLoad — вредоносный софт, который более половины десятилетия атаковал системы Mac. Он устанавливает вредоносный веб-прокси для перехвата трафика и показа целевой рекламы. AdLoad также служит портом для других загрузок: рекламных программ, браузерных расширений и прокси-приложений.
Исследователи из AT&T Alien Labs в июле 2023 года обнаружили новую версию программы. После запуска она собирает информацию о системе, включая UUID , и сообщает на управляющий сервер. Затем AdLoad загружает вредоносный модуль, отключает защиту и запускает прокси в фоновом режиме. Для скачивания ПО обычно используются домены vpnservices[.]live и upgrader[.]live
Согласно анализу более 150 образцов, многие устройства уже инфицированы? пишет Securitylab. «Alien Labs идентифицировала более 10 000 IP-адресов, еженедельно обращающихся к прокси-серверам, у которых есть потенциал быть выходными узлами. Неясно, все эти системы инфицированы или добровольно предлагают себя в качестве прокси, но это может свидетельствовать о более крупной инфекции в глобальном масштабе».
Специалисты отследили домены серверов до компании, торгующей прокси-услугами. По их словам, ботнет использовался для рассылки спама, но основные намерения неясны. В ботнете также обнаружили зараженные Windows-устройства.
В 2022-2023 годах активность, нацеленная на macOS, значительно выросла. Появились новые инструменты, эксплойты и вымогательские программы. Хакеры все чаще обходят защиту, эксплуатируя «слепые пятна».
AdLoad использует изощренные методы, чтобы скрыться от антивирусов. Он уже применялся для DDoS атак и кражи данных. Заражение одного компьютера может нанести ущерб многим пользователям и компаниям. Эксперты советуют использовать надежное антивирусное ПО, регулярно обновлять систему и настраивать брандмауэр. Также они предоставили набор правил YARA и список признаков заражения. Это поможет IT-специалистам выявить угрозу на корпоративных устройствах и принять меры вовремя.
