Adload

de on novembre 6, 2023 with Aucun commentaire

Ce malware peut-être installé via une infection de la familleShlayer et a, parlui-même, un impact limité. Toutefois, il est le symptôme d’un problème plusimportant et nécessite une intervention sur la machine.

Pour en savoir plussur le malware Shlayer :

Les élémentssuivants peuvent permettre d’identifier la présence de Shlayer :

Liens de téléchargement de Shlayer :

  • hxxp://80.82.77.84/.dmg
  • hxxp://sci-hub[.]tv
  • hxxp://kodak-world[.]com

URL utilisée commeserveur de contrôle de type C&C :

  • hxxp://api.typicalarchive[.]com
  • hxxp://api.entrycache[.]com
  • hxxp://api.macsmoments[.]com

En cas de présencede Shlayer, il est recommandé d’identifier la date d’infection et deprocéder à un nettoyage complet et/ou à une réinstallation dela machine. Il faut aussiconsidérer que toutes les informations mémorisées sur la machine peuventavoir été compromises, et en particulier les mots-de-passe et cartesbancaires.

Le malware adloadpeut être utilisé comme proxy, notamment dans le cadre de diffusionde spam.

Pour en savoir plus

https://cybersecurity.att.com/blogs/labs-research/mac-systems-turned-into-proxy-exit-nodes-by-adload

https://thehackernews.com/2023/08/this-malware-turned-thousands-of-hacked.html

Les éléments suivants peuvent permettre d’identifier la présence de Adload :

URL utilisée commeserveur de contrôle de type C&C :

  • hxxps://vpnservices[.]live (sinkhole)
  • hxxps://upgrader[.]live (sinkhole)

Proxy Node :

  • hxxp://bapp.pictureworld[.]co

Veuillez noter que les liens de C&C en [.]live sont en sinkhole et ne servent plus qu’à la détection des postes infectés. DNS sinkholing : mécanisme d’interception de flux DNS vers un domaine malveillant :

https://www.enisa.europa.eu/topics/incident-response/glossary/dns-sinkhole