AdLoad
AdLoad is een kwaadaardig hulpmiddel dat bedoeld is om mogelijk vervelende adware in uw Mac-systeem te sluipen. De tool is nu bijna drie jaar in omloop en vertoont geen tekenen van vertraging. Zijn lange ambtstermijn is te danken aan zijn vermogen om snel genoeg te evolueren om detectie te voorkomen. Gedurende zijn evolutie heeft AdLoad naar verluidt tientallen potentieel ongewenste apps (PUA's) laten vallen - Kreberisec, SearchDaemon, DataSearch, ApolloSearch, AphroditeResults en vele anderen (zie onderstaande lijst) - op een ontelbaar aantal MacOS-systemen wereldwijd. Gezien de aard van die apps, gedraagt AdLoad zich niet als een typische bedreiging op ernstig niveau. Door het aanhoudende gedrag wordt elke verwijderingspoging echter een behoorlijk uitdagende taak.
Inhoudsopgave
Een kaper of een Trojaans paard?
AdLoad lijkt een twijfelachtig karakter te hebben. Enerzijds deelt het de typische kenmerken van klassieke browserkapers. Het wordt vermomd als een nep-software-update of als een drive-by-download. Aan de andere kant hebben sommige onderzoekers de neiging om AdLoad te classificeren als een Trojan-achtige entiteit vanwege de achterdeurfunctionaliteit om allerlei soorten PUA's in een host Mac-systeem te installeren.
Eenmaal binnen leidt AdLoad de surfactiviteit van de slachtoffers om naar vooraf bepaalde servers door middel van man-in-the-middle-aanvallen. Dergelijke omleidingen vinden meestal plaats wanneer de verantwoordelijke actoren inkomsten willen genereren met advertentie-inkomsten door computergebruikers om te leiden naar sites die besmet zijn met pay-per-click (PPC) -advertenties. Hoewel dit advertentiemodel geenszins schadelijk is wanneer het wordt toegepast met de meest populaire zoekmachines op internet, kan het problemen veroorzaken als het om de verkeerde redenen wordt misbruikt. Bij dit laatste zijn meestal adverteerders betrokken die minder bekende zoekmachines betalen om verkeer naar PPC-zware websites van niet al te smakelijke aard te leiden.
De verspreiding van AdLoad kan plaatsvinden tijdens het laden van gebundelde applicaties of freeware. Er kunnen gevallen zijn waarin AdLoad wordt geïnstalleerd via Flash Player-prompts, zoals te zien is in de onderstaande afbeelding. Vaak is een dergelijke Flash Player-installatieprompt een website die een script of pagina heeft geladen die computergebruikers probeert te misleiden tot het downloaden en installeren van de bestanden die aan AdLoad zijn gekoppeld, waardoor de installatie van AdLoad mogelijk wordt gemaakt, waar het vervolgens Mac-computergebruikers kan bombarderen met pop- advertenties.
Voorbeeld van een AdLoad-installatieprompt via een Flash Player-installatiebericht.
Ondanks de lange levensduur van AdLoad, blijft het tot op de dag van vandaag moeilijk te detecteren, zoals aangetoond op VirusTotal, want de adware plant verschillende bestanden in een groot aantal mappen. De meeste gegevens worden in meerdere mappen in de lokale bibliotheeksectie geplaatst. Vervolgens worden een of meer uitvoerbare bestanden uitgevoerd, die een externe desktopverbinding tot stand brengen via een python-script. Afgezien van de zichtbare mappen in de lokale bibliotheeksectie, kan AdLoad een verborgen map maken die is ontworpen om de adware actief te houden.
Indicatoren van een AdLoad-infectie
Net als elk ander adware-stuk, kan AdLoad uw systeem vertragen, u talloze advertenties laten zien en u naar websites leiden die u misschien nog nooit eerder hebt gezien. De advertenties bieden mogelijk nep-software-updates, drive-by-downloads, aantrekkelijke goederen en services. Pas echter op voor het laatste. Vooral als ze er te mooi uitzien om waar te zijn.
Bijbehorende PUA’s
AdLoad heeft naar verluidt tientallen PUA's naar op MacOS gebaseerde computers gebracht. Enkele van die PUA's zijn onder meer: WebSearchStride, TotalAdviseSearch, Sorimbrsec, SkilledProjectSearch, SearchRange, SearchNetCharacter, PositiveSearch, KeyWordsSearch, MajorChannelSearch, AlphaLookup, GoldResults, GlobalQuestSearch, LeadingSignSearch, Odysseus, Module, Search, Expert NetToolboxSearch, SimpleFunctionSearch, AresLookup, PublicAdviseSearch, MajorLetterSearch, SearchArchive, SearchRange, CalypsoLookup, BinarySignSearch, enzovoort.
De bovenstaande lijst is slechts een voorproefje van de AdLoad Adware die naar de tafel kan worden gebracht. Als een of meer van deze namen een belletje doen rinkelen, is de kans groot dat u een aanhoudende AdLoad-infectie heeft en moet u actie ondernemen.
Verwijderingstips
Om te beginnen kunt u de conventionele verwijderingsprocedure volgen door verdachte of onbekende apps die u tegenkomt in uw map Toepassingen naar de prullenbak te brengen. Vervolgens kunt u eventuele resterende AdLoad-bestanden die u in uw bibliotheek aantreft, opschonen. Let vooral op de map LaunchAgents. Vergeet echter niet om elke bibliotheekmap te doorlopen. Hoewel deze stappen de juiste oplossing kunnen zijn, kan het geen kwaad om uw systeem te scannen met een betrouwbare anti-malware-oplossing. We raden u ten zeerste aan het laatste te doen, want AdLoad heeft bewezen dat het onmetelijk hardnekkig is wanneer het wordt aangevallen.
