{"id":5284,"date":"2023-08-13T19:18:58","date_gmt":"2023-08-13T17:18:58","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5284"},"modified":"2023-08-14T09:01:02","modified_gmt":"2023-08-14T07:01:02","slug":"adload-pretvara-mac-sisteme-u-izlazna-proxy-cvorista","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/08\/13\/adload-pretvara-mac-sisteme-u-izlazna-proxy-cvorista\/","title":{"rendered":"AdLoad pretvara Mac sisteme u izlazna proxy \u010dvori\u0161ta"},"content":{"rendered":"

AdLoad<\/em> zlonamjerni softver<\/a> se prvi put pojavio 2017. godine i jo\u0161 uvijek inficira Mac<\/em> sisteme isporu\u010duju\u0107i \u0161irok spektar aktivnog zlonamjernog softvera tokom svog postojanja. U najnovijem istra\u017eivanju je otkriveno<\/a>, da je AdLoad<\/em> zlonamjerni softver u protekloj godini naj\u010de\u0161\u0107e isporu\u010dio proxy<\/em> aplikaciju koja pretvara \u017ertve macOS<\/em> AdLoad<\/em> zlonamjernog softvera u d\u017einovski, rezidencijalni proxy<\/em> botnet<\/em>.<\/span><\/p>\n

\"AdLoad

AdLoad pretvara Mac sisteme u izlazna proxy \u010dvori\u0161ta; Source: Bing Image Creator<\/em><\/p><\/div>\n

AdLoad<\/em> zlonamjerni softvera<\/strong><\/span><\/h2>\n

AdLoad<\/em> zlonamjerni softvera je trenutno jedan od nekoliko \u0161iroko rasprostranjenih u\u010ditava\u010da reklamnog softvera i zlonamjernih datoteka koji trenutno uti\u010du na Mac<\/em> sisteme. Ovaj zlonamjerni softver je prisutan u sajber prostoru od 2017. godine, sa sa velikim kampanjama u posljednje dvije godine, kako su izvijestile kompanije SentinelOne<\/em> 2021. godine<\/a> i Microsoft<\/em> 2022. godine<\/a>.<\/span><\/p>\n

U posljednjim izvje\u0161taju je navedeno da AdLoad<\/em> isporu\u010duje UpdateAgentu<\/em> zlonamjerni softver kori\u0161tenjem drive<\/em>–by<\/em> napada, preusmjeravaju\u0107i saobra\u0107aj korisnika preko servera operatera reklamnog softvera, ubacivanje reklama i sa promocijom na Internet stranice i rezultate pretrage sa napadom napad \u010dovjeka u sredini (eng. Person-in-The-Middle \u2013 PiTM<\/em>). Sve ovo navedeno bi moglo da podr\u017ei teoriju sigurnosnih istra\u017eiva\u010da, da AdLoad<\/em> sprovodi kampanji pla\u0107aj po instalaciji zlonamjernog softvera.<\/span><\/p>\n

Generalno posmatrano, namjena AdLoad<\/em> zlonamjernog softvera je od po\u010detka bila da bude sredstvo isporuke nekog narednog zlonamjernog softvera, a istra\u017eivanja su pokazala da isporu\u010duje \u0161irok spektar zlonamjernih komponenti kao \u0161to su adware<\/em><\/a>, bundleware<\/em>, PiTM<\/em>, backdoors<\/em><\/a>, proxy<\/em> aplikacije i sli\u010dno. Kampanje obi\u010dno traju u periodu od nekoliko mjeseci do godinu dana, ponekad isporu\u010duju\u0107i razli\u010dite zlonamjerne komponente u zavisnosti od pode\u0161avanja sistema kao \u0161to su geolokacija, marka ure\u0111aja i model, verzija operativnog sistema ili pode\u0161avanja jezika.<\/span><\/p>\n

 <\/p>\n

Kampanja<\/strong><\/span><\/h3>\n

U novoj kampanji sigurnosni istra\u017eiva\u010di su primijetili isporuku do sada neprijavljena zlonamjerna komponenta koja odgovara proxy<\/em> aplikaciji koja pretvara svoje mete u proxy<\/em> izlazne \u010dvorove nakon infekcije. Pra\u0107enje ogromnog broja uzorka doveo je do identifikacije 10.000 IP<\/em> adresa koje svake nedjelje dopiru do proxy<\/em> servera i koje imaju potencijal da budu izlazni proxy<\/em> \u010dvorovi. Namjere korisnika ovog botnet<\/em><\/a>-a za rezidencijalne proxy<\/em> sisteme su jo\u0161 uvijek nejasne, ali je utvr\u0111eno da se koristi u spam<\/em> kampanjama.<\/span><\/p>\n

Sigurnosni istra\u017eiva\u010di su identifikovali nekoliko domena kao proxy<\/em> \u010dvorove servera koji su prenosili proxy<\/em> zahteve zara\u017eenim sistemima. Svi ovi domeni su imali generi\u010dka nasumi\u010dno generisana imena i bili su hostovani u obi\u010dno pouzdanim uslugama u oblaku, kao \u0161to su Amazon<\/em> ili Oracle<\/em>. Me\u0111utim, \u010dini se da se ove usluge u oblaku koriste samo za DNS<\/em> razrje\u0161avanje, po\u0161to su se te IP<\/em> adrese razrije\u0161ile na domeni privatne kompanije u vreme infekcije. Naziv kompanije se tako\u0111e pojavio u certifikatima nekih od ovih generi\u010dkih domena.<\/span><\/p>\n

Pored analiziranih Mac<\/em> uzoraka, sigurnosni istra\u017eiva\u010di su identifikovali i Windows<\/em> uzorke koji reprodukuju upravo obja\u0161njeno pona\u0161anje.<\/span><\/p>\n

 <\/p>\n

AdLoad<\/em> funkcionisanje<\/strong><\/span><\/h4>\n

Kada korisnik preuzme AdLoad<\/em> zlonamjerni softver, on inicira izvr\u0161enje pomo\u0107u sistemskog profilatora. Sistemski profilator povla\u010di sistemske informacije fokusirajuc\u0301i se na univerzalno jedinstveni identifikator – UUID<\/em> (eng, Universally Unique Identifier<\/em>) koji se kasnije mo\u017ee koristiti za identifikaciju sistema sa komandom i kontrolom (C&C<\/em>) na proxy<\/em> serverima. Nakon toga kre\u0107e komunikacija ka komandom i kontrolom (C&C<\/em>) serveru preko \u010dvrsto kodirane adrese u samom zlonamjernom softveru.<\/span><\/p>\n

Nakon slanja signala na C&C<\/em> server, komunikacija sti\u017ee i do drugog domena, koji je izgleda C&C<\/em> proxy<\/em> servera. Zahtev se \u0161alje kao parametar UUID<\/em> zara\u017eene ma\u0161ine me\u0111u ostalim kodiranim parametrima i odgovara vezom datoteke za preuzimanje koja uklju\u010duje okru\u017eenje za kori\u0161tenje i verziju aktivnog dijela virusa<\/a>. Kada zlonamjerni softver preuzme proxy<\/em> aplikaciju, ona se raspakuje iz ZIP<\/em> arhive sa lozinkom, uz pokretanje komandi nad datotekama koje uklanjaju atribut karantina. Na ovaj na\u010din se zaobilazi Gatekeeper<\/em> sigurnosni mehanizam na Mac<\/em> ure\u0111ajima. Sve nepotrebne datoteke smje\u0161taju se u privremeni direktorijum, a ZIP<\/em> arhiva se bri\u0161e.<\/span><\/p>\n

U ovoj fazi, u direktorijumu u okviru Podr\u0161ke za aplikacije nalaze se dvije datoteke. Prva datoteka je namijenjena za kontrolu verzije, dok je druga datoteka proxy<\/em> aplikacija. Ako je proxy<\/em> aplikacija ve\u0107 pokrenuta, zlonamjerni softver je ubija, a zatim je izvr\u0161ava u pozadini. Tokom svog izvr\u0161avanja, AdLoad<\/em> postaje postojan tako \u0161to se instalira kao Launch<\/em> Agent<\/em> sa imenom organizacije koji pokazuje na izvr\u0161nu proxy<\/em> aplikaciju u direktorijumu Podr\u0161ka za aplikacije.<\/span><\/p>\n

Sada je proxy<\/em> aplikacija ve\u0107 pokrenuta, a inficirani ure\u0111aji po\u010dinju da rade kao proxy<\/em> serveri. Njegova po\u010detna konfiguracija je obi\u010dno tvrdo kodirana, ali se mo\u017ee modifikovati kroz prethodni zahtev za C&C<\/em> proxy<\/em>, modifikujuc\u0301i kori\u0161\u0107eni domen, port, okru\u017eenje, itd. Komunikacija sa proxy<\/em> serverima se obi\u010dno odvija preko porta 7001<\/em>, ali ima tako\u0111e je primije\u0107eno da se odvija i preko porta 7000<\/em> i 7002<\/em>, vjerovatno kao alternative u slu\u010daju da je port 7001 <\/em>zauzet.<\/span><\/p>\n

Kada se proxy<\/em> aplikacija uspje\u0161no startuje, njena prva radnja je da se javi proxy<\/em> serveru sa sistemskim informacijama i statusom. Ona \u0161alje registracione podatke C&C<\/em> serveru koji uklju\u010duju macOS<\/em> verziju i hardverske podatke kao \u0161to su procesor, memorija i status baterije. Na kraju dolazi do izdvajanja UUID <\/em>identifikatora ure\u0111aja koji \u0107e se koristiti za identifikaciju ure\u0111aja na C&C<\/em> serveru. Posljednji korak je uspostavljanje veze sa proxy<\/em> menad\u017eer serverom koji \u0107e manipulisati proxy<\/em> zahtjevima.<\/span><\/p>\n

Prvi zahtjevi koji se obrade na novim inficiranim ure\u0111ajima su izgleda testovi koji poku\u0161avaju da pristupe striming servisima kao \u0161to su Netflix<\/em>, HBO<\/em> ili Disney<\/em> sa specifi\u010dnih lokacija. Tu je i poruka koja se \u0161alje inficiranim ure\u0111ajima svakih nekoliko sekundi kako bi se sinhronizovane informacije sa C&C<\/em> serverom. To se odnosi na a\u017euriranje informacija o hardveru kako bi se do\u0161lo do informacija da li ure\u0111aj treba biti kori\u0161ten kao proxy<\/em> ili ne (na primjer zbog niskog nivoa baterije ili optere\u0107enog procesora).<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/strong><\/span><\/h5>\n

Uspjeh koji pokazuje da AdLoad<\/em> zlonamjerni softver inficiranjem hiljadu ure\u0111aja \u0161irom sveta govori da su korisnici macOS<\/em> ure\u0111aja unosna meta za zlonamjerne aktere koji stoje iza ovog zlonamjernog softvera i da su korisnici prevareni da preuzmu i instaliraju ne\u017eeljene aplikacije. Nedovoljno prijavljivanje prijetnji zasnovanih na macOS<\/em> operativnim sistemima mo\u017ee dovesti korisnike do la\u017enog osje\u0107aja sigurnosti i potrebno je naglasiti da je svaki popularni operativni sistem meta vje\u0161tih protivnika.<\/span><\/p>\n

 <\/p>\n

Za\u0161tita<\/strong><\/span><\/h5>\n

Imaju\u0107i u vidu da alati kompanije Apple<\/em> kao \u0161to su Gatekeeper<\/em>, Xprotect<\/em> i MRT <\/em>ne blokiraju mnoge vrste prijetnji, o\u010digledno je da Apple<\/em> metode za\u0161tite macOS<\/em> operativnog sistema same po sebi nisu dovoljne. Korisnicima se preporu\u010duje kori\u0161tenje renomiranog antivirusnog rje\u0161enja od pouzdanih Mac<\/em> partnera koje uklju\u010duje skeniranje u realnom vremenu.<\/span><\/p>\n

Korisnici ne bi trebalo da preuzimaju datoteke ili softver sa neovla\u0161tenih Internet lokacija, posebno sa preuzimanje sadr\u017eaja sa peer-to-peer<\/em> mre\u017ea koje su mjesta na koja hakeri postavljaju zlonamjerni sadr\u017eaj i obmanjuju korisnike da preuzmu takav sadr\u017eaj.<\/span><\/p>\n

U slu\u010daju da korisnici primijete neke aplikacije koje nisu instalirali, potrebno ih je odmah obrisati i uvjeriti se da na ure\u0111aju nema nikakvih ostataka takvih aplikacija. Zlonamjerni softver \u010desto tra\u017ei dozvole za dodatne instalacije, dakle preventivno bi korisnici nakon preuzimanja datoteka ili aplikacija trebali biti pa\u017eljivi sa sadr\u017eajem, posebno ako tra\u017ei preuzimanje dodatnog softvera.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

AdLoad zlonamjerni softver se prvi put pojavio 2017. godine i jo\u0161 uvijek inficira Mac sisteme isporu\u010duju\u0107i \u0161irok spektar aktivnog zlonamjernog softvera tokom svog postojanja. U najnovijem istra\u017eivanju je otkriveno, da je AdLoad zlonamjerni softver...<\/p>","protected":false},"author":1,"featured_media":5289,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[506,323,246,144,229],"class_list":["post-5284","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-adload","tag-apple","tag-mac","tag-macos","tag-proxy"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5284","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5284"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5284\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5289"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5284"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5284"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5284"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}