AdLoad pretvara Mac sisteme u izlazna proxy čvorišta

AUTOR · Published · Updated

AdLoad zlonamjerni softver se prvi put pojavio 2017. godine i još uvijek inficira Mac sisteme isporučujući širok spektar aktivnog zlonamjernog softvera tokom svog postojanja. U najnovijem istraživanju je otkriveno, da je AdLoad zlonamjerni softver u protekloj godini najčešće isporučio proxy aplikaciju koja pretvara žrtve macOS AdLoad zlonamjernog softvera u džinovski, rezidencijalni proxy botnet.

AdLoad malware

AdLoad pretvara Mac sisteme u izlazna proxy čvorišta; Source: Bing Image Creator

AdLoad zlonamjerni softvera

AdLoad zlonamjerni softvera je trenutno jedan od nekoliko široko rasprostranjenih učitavača reklamnog softvera i zlonamjernih datoteka koji trenutno utiču na Mac sisteme. Ovaj zlonamjerni softver je prisutan u sajber prostoru od 2017. godine, sa sa velikim kampanjama u posljednje dvije godine, kako su izvijestile kompanije SentinelOne 2021. godine i Microsoft 2022. godine.

U posljednjim izvještaju je navedeno da AdLoad isporučuje UpdateAgentu zlonamjerni softver korištenjem driveby napada, preusmjeravajući saobraćaj korisnika preko servera operatera reklamnog softvera, ubacivanje reklama i sa promocijom na Internet stranice i rezultate pretrage sa napadom napad čovjeka u sredini (eng. Person-in-The-Middle – PiTM). Sve ovo navedeno bi moglo da podrži teoriju sigurnosnih istraživača, da AdLoad sprovodi kampanji plaćaj po instalaciji zlonamjernog softvera.

Generalno posmatrano, namjena AdLoad zlonamjernog softvera je od početka bila da bude sredstvo isporuke nekog narednog zlonamjernog softvera, a istraživanja su pokazala da isporučuje širok spektar zlonamjernih komponenti kao što su adware, bundleware, PiTM, backdoors, proxy aplikacije i slično. Kampanje obično traju u periodu od nekoliko mjeseci do godinu dana, ponekad isporučujući različite zlonamjerne komponente u zavisnosti od podešavanja sistema kao što su geolokacija, marka uređaja i model, verzija operativnog sistema ili podešavanja jezika.

 

Kampanja

U novoj kampanji sigurnosni istraživači su primijetili isporuku do sada neprijavljena zlonamjerna komponenta koja odgovara proxy aplikaciji koja pretvara svoje mete u proxy izlazne čvorove nakon infekcije. Praćenje ogromnog broja uzorka doveo je do identifikacije 10.000 IP adresa koje svake nedjelje dopiru do proxy servera i koje imaju potencijal da budu izlazni proxy čvorovi. Namjere korisnika ovog botnet-a za rezidencijalne proxy sisteme su još uvijek nejasne, ali je utvrđeno da se koristi u spam kampanjama.

Sigurnosni istraživači su identifikovali nekoliko domena kao proxy čvorove servera koji su prenosili proxy zahteve zaraženim sistemima. Svi ovi domeni su imali generička nasumično generisana imena i bili su hostovani u obično pouzdanim uslugama u oblaku, kao što su Amazon ili Oracle. Međutim, čini se da se ove usluge u oblaku koriste samo za DNS razrješavanje, pošto su se te IP adrese razriješile na domeni privatne kompanije u vreme infekcije. Naziv kompanije se takođe pojavio u certifikatima nekih od ovih generičkih domena.

Pored analiziranih Mac uzoraka, sigurnosni istraživači su identifikovali i Windows uzorke koji reprodukuju upravo objašnjeno ponašanje.

 

AdLoad funkcionisanje

Kada korisnik preuzme AdLoad zlonamjerni softver, on inicira izvršenje pomoću sistemskog profilatora. Sistemski profilator povlači sistemske informacije fokusirajući se na univerzalno jedinstveni identifikator – UUID (eng, Universally Unique Identifier) koji se kasnije može koristiti za identifikaciju sistema sa komandom i kontrolom (C&C) na proxy serverima. Nakon toga kreće komunikacija ka komandom i kontrolom (C&C) serveru preko čvrsto kodirane adrese u samom zlonamjernom softveru.

Nakon slanja signala na C&C server, komunikacija stiže i do drugog domena, koji je izgleda C&C proxy servera. Zahtev se šalje kao parametar UUID zaražene mašine među ostalim kodiranim parametrima i odgovara vezom datoteke za preuzimanje koja uključuje okruženje za korištenje i verziju aktivnog dijela virusa. Kada zlonamjerni softver preuzme proxy aplikaciju, ona se raspakuje iz ZIP arhive sa lozinkom, uz pokretanje komandi nad datotekama koje uklanjaju atribut karantina. Na ovaj način se zaobilazi Gatekeeper sigurnosni mehanizam na Mac uređajima. Sve nepotrebne datoteke smještaju se u privremeni direktorijum, a ZIP arhiva se briše.

U ovoj fazi, u direktorijumu u okviru Podrške za aplikacije nalaze se dvije datoteke. Prva datoteka je namijenjena za kontrolu verzije, dok je druga datoteka proxy aplikacija. Ako je proxy aplikacija već pokrenuta, zlonamjerni softver je ubija, a zatim je izvršava u pozadini. Tokom svog izvršavanja, AdLoad postaje postojan tako što se instalira kao Launch Agent sa imenom organizacije koji pokazuje na izvršnu proxy aplikaciju u direktorijumu Podrška za aplikacije.

Sada je proxy aplikacija već pokrenuta, a inficirani uređaji počinju da rade kao proxy serveri. Njegova početna konfiguracija je obično tvrdo kodirana, ali se može modifikovati kroz prethodni zahtev za C&C proxy, modifikujući korišćeni domen, port, okruženje, itd. Komunikacija sa proxy serverima se obično odvija preko porta 7001, ali ima takođe je primijećeno da se odvija i preko porta 7000 i 7002, vjerovatno kao alternative u slučaju da je port 7001 zauzet.

Kada se proxy aplikacija uspješno startuje, njena prva radnja je da se javi proxy serveru sa sistemskim informacijama i statusom. Ona šalje registracione podatke C&C serveru koji uključuju macOS verziju i hardverske podatke kao što su procesor, memorija i status baterije. Na kraju dolazi do izdvajanja UUID identifikatora uređaja koji će se koristiti za identifikaciju uređaja na C&C serveru. Posljednji korak je uspostavljanje veze sa proxy menadžer serverom koji će manipulisati proxy zahtjevima.

Prvi zahtjevi koji se obrade na novim inficiranim uređajima su izgleda testovi koji pokušavaju da pristupe striming servisima kao što su Netflix, HBO ili Disney sa specifičnih lokacija. Tu je i poruka koja se šalje inficiranim uređajima svakih nekoliko sekundi kako bi se sinhronizovane informacije sa C&C serverom. To se odnosi na ažuriranje informacija o hardveru kako bi se došlo do informacija da li uređaj treba biti korišten kao proxy ili ne (na primjer zbog niskog nivoa baterije ili opterećenog procesora).

 

Zaključak

Uspjeh koji pokazuje da AdLoad zlonamjerni softver inficiranjem hiljadu uređaja širom sveta govori da su korisnici macOS uređaja unosna meta za zlonamjerne aktere koji stoje iza ovog zlonamjernog softvera i da su korisnici prevareni da preuzmu i instaliraju neželjene aplikacije. Nedovoljno prijavljivanje prijetnji zasnovanih na macOS operativnim sistemima može dovesti korisnike do lažnog osjećaja sigurnosti i potrebno je naglasiti da je svaki popularni operativni sistem meta vještih protivnika.

 

Zaštita

Imajući u vidu da alati kompanije Apple kao što su Gatekeeper, Xprotect i MRT ne blokiraju mnoge vrste prijetnji, očigledno je da Apple metode zaštite macOS operativnog sistema same po sebi nisu dovoljne. Korisnicima se preporučuje korištenje renomiranog antivirusnog rješenja od pouzdanih Mac partnera koje uključuje skeniranje u realnom vremenu.

Korisnici ne bi trebalo da preuzimaju datoteke ili softver sa neovlaštenih Internet lokacija, posebno sa preuzimanje sadržaja sa peer-to-peer mreža koje su mjesta na koja hakeri postavljaju zlonamjerni sadržaj i obmanjuju korisnike da preuzmu takav sadržaj.

U slučaju da korisnici primijete neke aplikacije koje nisu instalirali, potrebno ih je odmah obrisati i uvjeriti se da na uređaju nema nikakvih ostataka takvih aplikacija. Zlonamjerni softver često traži dozvole za dodatne instalacije, dakle preventivno bi korisnici nakon preuzimanja datoteka ili aplikacija trebali biti pažljivi sa sadržajem, posebno ako traži preuzimanje dodatnog softvera.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.