Mac нездоровится: марка оказалась уязвимой к еще одному вредоносу — AdLoad

AdLoad — вредоносный софт, который более половины десятилетия атаковал системы Mac. Он устанавливает вредоносный веб-прокси для перехвата трафика и показа целевой рекламы. AdLoad также служит портом для других загрузок: рекламных программ, браузерных расширений и прокси-приложений.

Исследователи из AT&T Alien Labs в июле 2023 года обнаружили новую версию программы. После запуска она собирает информацию о системе, включая UUID , и сообщает на управляющий сервер. Затем AdLoad загружает вредоносный модуль, отключает защиту и запускает прокси в фоновом режиме. Для скачивания ПО обычно используются домены vpnservices[.]live и upgrader[.]live

Согласно анализу более 150 образцов, многие устройства уже инфицированы. «Alien Labs идентифицировала более 10 000 IP-адресов, еженедельно обращающихся к прокси-серверам, у которых есть потенциал быть выходными узлами. Неясно, все эти системы инфицированы или добровольно предлагают себя в качестве прокси, но это может свидетельствовать о более крупной инфекции в глобальном масштабе».

Специалисты отследили домены серверов до компании, торгующей прокси-услугами. По их словам, ботнет использовался для рассылки спама, но основные намерения неясны. В ботнете также обнаружили зараженные Windows-устройства.

Злоумышленники все активнее атакуют macOS по мере роста популярности марки. Согласно опросу Jamf, в 2020 году 23% компаний использовали Mac как основное устройство. Аналитики Accenture отмечают, что бизнес остается уязвимым из-за недостаточного внимания к безопасности систем.

В 2022-2023 годах активность, нацеленная на macOS, значительно выросла. Появились новые инструменты, эксплойты и вымогательские программы. Хакеры все чаще обходят защиту, эксплуатируя «слепые пятна».

AdLoad использует изощренные методы, чтобы скрыться от антивирусов. Он уже применялся для DDoS атак и кражи данных. Заражение одного компьютера может нанести ущерб многим пользователям и компаниям. Эксперты советуют использовать надежное антивирусное ПО, регулярно обновлять систему и настраивать брандмауэр. Также они предоставили набор правил YARA и список признаков заражения. Это поможет IT-специалистам выявить угрозу на корпоративных устройствах и принять меры вовремя.