I en nylig udvikling af cybertrusler har ondsindede aktører udnyttet kompromitterede Windows- og macOS-systemer til at implementere en proxyserverapplikation og brugt dem som exit-noder til at omdirigere proxy-anmodninger.

AT&T Alien Labs har rapporteret, at et ikke offentliggjort firma, der tilbyder proxy-tjenester, administrerer et netværk med over 400.000 proxy-udgangsnoder.

Det er dog stadig usikkert, i hvor høj grad disse knudepunkter blev co-opteret af malware på inficerede enheder, uden at brugerne ved det.

På trods af påstande fra proxy-tjenestens websted om, at udgangsnoder udelukkende stammer fra informerede og samtykkende brugere, tyder beviser på, at malware-forfattere i det skjulte implanterer proxyer på inficerede systemer.

Proxy-software, skrevet i programmeringssproget Go

Forskellige stammer af malware er blevet observeret distribuere proxyen til brugere, der søger ulovlig software og spil. Denne proxy-software, som er skrevet i programmeringssproget Go, er dygtig til at målrette mod både Windows og macOS, hvor førstnævnte anvender en gyldig digital signatur for at undgå registrering.

Ud over at modtage kommandoer fra en ekstern server er proxyen desuden designet til at indsamle oplysninger om kompromitterede systemer, herunder aktive processer, CPU- og hukommelsesbrug og batteristatus. Især er installationen af ​​proxy-softwaren ledsaget af introduktionen af ​​supplerende malware- eller adware-komponenter.

Ofer Caspi, en sikkerhedsforsker hos AT&T Alien Labs, udtrykte bekymring over indtægtsgenerering af malware-drevne proxy-servere gennem et affiliate program og understregede, at det formaliserer spredningen af ​​denne trussel.

Denne afsløring bygger på tidligere resultater fra AT&T, der afslører, at macOS-maskiner, der er plettet af AdLoad-adware, bliver indrulleret i et ekspansivt proxy-botnet. Dette rejser mistanke om, at operatørerne bag AdLoad kan orkestrere en pay-per-install-kampagne.

Adload rammer macOS

AdLoad er blandt de mest fremtrædende adware-stammer rettet mod macOS. Den forklæder sig som populære videoafspillere og udbredte applikationer, overbevisende browsere og tvinger ofre til at besøge potentielt farlige websteder, hvilket i sidste ende gør det muligt for cyberkriminelle at drage fordel af disse ordninger.

AdLoads udbredte rækkevidde, der potentielt inficerer tusindvis af enheder verden over, understreger, at MacOS-brugere repræsenterer et lukrativt mål for gerningsmændene til denne malware. De bliver bedraget til at downloade og installere uønskede programmer.

Den stigning i malware, der spreder proxy-applikationer som et rentabelt foretagende, faciliteret af tilknyttede programmer, understreger modstandernes snedige taktik. Disse proxyer, diskret installeret via lokkende tilbud eller kompromitteret software, tjener som kanaler for uautoriserede økonomiske gevinster.