O AdLoad, um malware conhecido que tem como alvo os sistemas que executam o macOS há mais de meia década , foi observado fornecendo uma nova carga útil que – sem o conhecimento dos proprietários – alistou seus sistemas em um botnet proxy residencial.
De acordo com os pesquisadores de inteligência de ameaças do AT&T Alien Labs, que analisaram mais de 150 amostras do malware que encontraram na natureza, muitos dispositivos estão infectados.
“Alien Labs identificou mais de 10.000 IPs chegando aos servidores proxy a cada semana que têm o potencial de serem nós de saída do proxy. Não está claro se todos esses sistemas foram infectados ou estão oferecendo voluntariamente seus sistemas como proxies, mas pode ser indicativo de uma infecção maior globalmente”.
O malware AdLoad macOS
AdLoad é um adware que instala um proxy da web para redirecionar o tráfego da web do usuário através de servidores pertencentes aos operadores de adware, para que eles possam sequestrar os resultados do mecanismo de pesquisa e inserir anúncios específicos nas páginas visualizadas pelo usuário (assim desviando a receita de anúncios dos proprietários do site) .
O AdLoad também serve como um downloader para cargas adicionais: PUAs , outro adware (por exemplo, Mughthesec ), extensões de navegador e outros aplicativos proxy.
AdLoad é conhecido por ser altamente evasivo e persistente. Ao longo dos anos, seus desenvolvedores o armaram com técnicas inteligentes para se esconder das ferramentas de segurança integradas do macOS e de programas antivírus de terceiros e persistir durante as reinicializações do sistema.
AdLoad está transformando Macs em proxies
Os pesquisadores do AT&T Alien Labs analisaram muitas variantes da amostra mais recente do AdLoad, que foi detectada em estado selvagem em junho de 2023.
Depois de executado, esse exemplo do AdLoad coleta informações do sistema – incluindo o UUID (identificador universal exclusivo) do sistema – e se conecta a um servidor AdLoad para relatar a infecção.
“Depois de sinalizar para o servidor AdLoad, a amostra alcança um domínio diferente, geralmente vpnservices[.]live ou upgrader[.]live, parecendo ser o C&C de um servidor proxy”, explicaram os pesquisadores.
“A solicitação carrega como parâmetro o UUID da máquina infectada entre outros parâmetros codificados. Essa solicitação responde com um link do arquivo para download, geralmente em digitaloceanspaces[.]com. Também inclui o ambiente a ser usado e o número da versão do payload.”
processo de infecção AdLoad. (Fonte: AT&T Alien Labs)
O malware baixa o aplicativo proxy (residencial), descompacta os arquivos, remove o atributo de quarentena que os tornaria visíveis para o macOS Gatekeeper e os move para uma nova pasta.
“Se o aplicativo proxy já estiver em execução, o malware o mata e o executa em segundo plano. Durante sua execução, o AdLoad ganha persistência instalando-se como um Launch Agent com nome de organização geralmente formado por org.[random long string].plist, que aponta para o aplicativo proxy executável na pasta Application Support”, explicaram os pesquisadores.
Por fim, os hosts passam a funcionar como um servidor proxy.
A AT&T Alien Labs rastreou os domínios que servem como nós de servidor proxy para uma pequena empresa que vende serviços de proxy. “As intenções por trás dos usuários deste botnet para sistemas proxy residenciais ainda não estão claras, mas até agora já foi detectado o envio de campanhas de SPAM”, observaram .
Os pesquisadores também sugeriram que nem todas as máquinas nesta botnet são Macs, pois também detectaram amostras do Windows que também acabam agindo como proxies. Eles forneceram recomendações sobre como remover as amostras do AdLoad e o aplicativo proxy do sistema, bem como regras YARA e IOCs para ajudar a equipe de segurança corporativa a identificar infecções em sistemas gerenciados.
Os invasores estão mirando cada vez mais nos Macs
Os sistemas baseados no Windows têm sido o principal alvo dos cibercriminosos, mas como cada vez mais consumidores e empresas estão usando Macs, o malware especializado para macOS está aumentando.
“De acordo com uma pesquisa da Jamf, empresa que gerencia dispositivos Apple, em 2020, a porcentagem de organizações empresariais que relataram usar o Mac como dispositivo principal aumentou para 23%, acima dos 17% em 2019. Esses números podem ter aumentado ainda mais desde o relatório de 2020, deixando as empresas vulneráveis, a menos que ajustem sua postura de segurança para enfrentar essa nova ameaça emergente”, apontaram os analistas da Accenture .
“As atividades anteriores relacionadas ao macOS foram limitadas em escopo devido ao papel comparativamente menor desempenhado pelo macOS na infraestrutura corporativa globalmente e às habilidades mais avançadas e de nicho necessárias para atingir o sistema operacional da Apple. No entanto, em 2022 e no primeiro semestre de 2023, a atividade de segmentação do macOS se intensificou.”
Os agentes de ameaças começaram a desenvolver e distribuir cepas e exploits de infostealer específicos para macOS (inclusive para dias zero) e têm vendido ferramentas e serviços voltados para sistemas macOS.
Eles também têm cada vez mais executado ataques que ignoram o macOS Gatekeeper, e grupos de ransomware começaram a trabalhar em variantes de ransomware visando o popular sistema operacional.
FONTE: HELP NET SECURITY