Gli attori delle minacce stanno sfruttando l’accesso a macchine Windows e macOS infettate da malware per fornire un’applicazione server proxy e utilizzarle come nodi di uscita per reindirizzare le richieste proxy.
Dettagli dell’operazione
Secondo AT&T Alien Labs, l’azienda non nominata che offre il servizio proxy gestisce oltre 400.000 nodi di uscita proxy. Non è immediatamente chiaro quanti di questi siano stati cooptati da malware installato su macchine infette senza la conoscenza e l’interazione dell’utente. Sebbene il sito web del proxy affermi che i suoi nodi di uscita provengono solo da utenti informati e che hanno accettato l’uso del loro dispositivo, la società di cybersecurity ha scoperto prove che indicano che gli autori di malware stanno installando il proxy in modo silenzioso nei sistemi infetti.
Modalità di diffusione
Sono state osservate diverse famiglie di malware che consegnano il proxy agli utenti alla ricerca di software e giochi craccati. Il software proxy, scritto nel linguaggio di programmazione Go, è in grado di prendere di mira sia Windows che macOS. La versione per Windows è in grado di eludere il rilevamento utilizzando una firma digitale valida. Oltre a ricevere ulteriori istruzioni da un server remoto, il proxy è configurato per raccogliere informazioni sui sistemi compromessi, tra cui processi in esecuzione, utilizzo della CPU e della memoria, e stato della batteria. L’installazione del software proxy è accompagnata dal rilascio di ulteriori elementi di malware o adware.
Monetizzazione e rischi
La monetizzazione dei server proxy propagati da malware attraverso un programma di affiliazione è preoccupante, poiché crea una struttura formale per aumentare la velocità con cui questa minaccia si diffonderà, ha affermato il ricercatore di sicurezza Ofer Caspi. La divulgazione si basa su precedenti scoperte di AT&T in cui macchine macOS compromesse dall’adware AdLoad vengono raggruppate in un enorme botnet proxy residenziale.
AdLoad e macOS
AdLoad è una delle più grandi ceppi di adware conosciuti che prendono di mira macOS. Nota per impersonare popolari lettori video e altre applicazioni ampiamente utilizzate, AdLoad dirotta i browser e costringe le vittime a visitare siti web potenzialmente dannosi, permettendo ai cybercriminali di trarre profitto dai loro schemi. “La natura pervasiva di AdLoad, che potenzialmente infetta migliaia di dispositivi in tutto il mondo, indica che gli utenti di dispositivi MacOS sono un obiettivo redditizio per gli avversari dietro questo malware”, ha dichiarato la società.
Tendenze e minacce future
L’uso crescente di macOS in ambienti aziendali, le elevate potenziali entrate degli attori delle minacce disposti e in grado di prendere di mira macOS e la crescente domanda di strumenti e prodotti macOS suggeriscono che questa tendenza continuerà. La società di cybersecurity rumena Bitdefender ha riferito che gli utenti Mac sono stati principalmente presi di mira da tre principali minacce nell’ultimo anno: Trojan (51,8%), Applicazioni Potenzialmente Indesiderate (25,3%) e Adware (22,6%).