Quanti utenti ad oggi possiedono un Mac, un iPhone o un iPad sono convinte di aver acquistato un prodotto a prova di virus?

In questo blog abbiao affrontato più volte il tema della sicurezza dei dispositivi Apple e ancora una volta, ci ritroviamo di fronte ad un mito da sfatare.
Questo articolo, infatti, parla di un malware che da più di cinque anni prende di mira i dispositivi della casa di Cupertino.
Il suo nome è AdLoad e fa parte della categoria degli adware. Vediamo dunque come agisce e come difendersi da esso.

adloard adware
  1. Nozione di base sugli adware
  2. Il malware che colpisce i Mac
  3. Il malware dai mille volti
  4. Come si diffonde AdLoad
  5. Ultime imprese di AdLoad
  6. Come potete difendervi da AdLoad
  7. Come eliminare AdLoad dalla vostra macchina

Nozione di base sugli adware

La parola adware è l’abbreviazione di advertising supporting software (ovvero programma sovvenzionato da pubblicità).
Si tratta di software malevoli programmati per mostrare annunci in maniera molto aggressiva, molto spesso quando si effettuano delle ricerche su Internet.
Alcuni adware sono anche in grado di tenere traccia delle ricerche fatte dall’utente.
Molto spesso gli adware vengono installati in combo con altri software, magari gratuiti e ancor più facilmente se scaricati dal web.

Quando l’utente apre un motore di ricerca per navigare su Internet  viene immediatamente invaso da una marea di annunci pubblicitari sottoforma di banner o pop-up. Questi cercano di riempire quanto più spazio possibile all’interno dello schermo del dispositivo.
Inoltre, chiudere questi annunci risulta difficile, poiché appaiono di continuo.

Non si parla di banale pubblicità.
La questione è ben più preoccupante.

Gli adware, infatti, pubblicizzano sedicenti metodi per dimagrire in meno di un mese oppure programmi d’investimento che faranno guadagnare cifre da capogiro. Dulcis in fundo, il motore di ricerca può anche aprire in automatico pagine web etichettate come “non sicure per il lavoro” (cioè NSFW, Not Suitable For Work).

Il malware che colpisce i Mac

L’adware AdLoad attacca i dispositivi Apple fin dal 2017.
È famoso per spacciarsi come un programma legittimo, come ad esempio famosi software per la riproduzione di video e riesce perfino ad eludere alcuni sistemi di sicurezza MacOS e di altri antivirus.
Il suo scopo è di iniettare annunci pubblicitari e programmi potenzialmente indesiderati (Potentially Undesired Programs, abbreviato PUP) nel dispositivo dello sfortunato utente. È in grado anche di monitorare le ricerche fatte su Internet allo scopo di pubblicare annunci mirati.

Il malware dai mille volti

Sembra che questo adware nel corso degli anni si sia manifestato con tanti nomi diversi.
Tuttavia, molti di essi presentano le parole “SearchDaeamon”, “Ricerca”, “RicercaDati” e “Risultati”.
Ecco dieci tra i nomi più noti usati da AdLoad:

  • AphroditeLookup;
  • AphroditeResults;
  • ApolloSearch;
  • ApolloSearchDaemon;
  • ArtemisSearch;
  • ArtemisSearchDaemon;
  • ElementaryDataSearch;
  • ElementarySignalSearchDaemon;
  • FindData;
  • GlobalConsoleSearch;

Come si diffonde AdLoad

Come per gli altri adware, anche AdLoad penetra nei dispositivi Apple attraverso programmi scaricati da siti web non proprio affidabili.
Un dispositivo colpito da AdLoad presenta i seguenti problemi:

  • Nel browser sono presenti modifiche non approvate dall’utente.
  • L’homepage del browser è misteriosamente cambiata.
  • Nel browser sono presenti estensioni mai installate prima.
  • Il browser si chiude all’improvviso.
  • Durante la navigazione compaiono in continuazione fastidiosi annunci pubblicitari, alcuni dei quali contengono collegamenti a siti pericolosi.
  • Il dispositivo funziona in maniera molto lenta a causa del malware che esegue molte attività in background.
  • Tra i programmi installati nel dispositivo ce ne sono alcuni sconosciuti e/o non istallati volontariamente (i PUP, appunto).

Le ultime imprese di AdLoad

Verso la fine del 2023 i ricercatori di AT&T Alien Labs hanno scoperto che AdLoad è anche in grado di trasformare i dispositivi infetti in botnet proxy.
Tutto ciò grazie ad un payload con cui gli hacker trasformano le macchine infette in zombie al loro servizio. Lo scopo è quello di reindirizzare le ricerche degli utenti verso siti Internet potenzialmente dannosi allo scopo di aumentare il guadagno dei cybercriminali.
Il principali nodi del server proxy sono stati rintracciati in una specie d’impresa che vende questi servizi.
A quanto pare, questi servizi sono stati usati per perpetuare campagne di spam e per raccogliere i dati sensibili degli utenti.

Come potete difendervi da AdLoad

Per non rischiare di trovare il vostro dispositivo infettato da AdLoad o da un altro adware, prestate attenzione a queste regole:

  1. Scaricate programmi da siti web sicuri ed affidabili. Se possibile, scaricateli dal sito web del produttore stesso.
  2. Prestate molta attenzione ai termini d’uso prima di scaricare un programma. Controllate che non vengano scaricati anche altri software sospetti.
  3. Tenete sempre aggiornati il vostro antivirus e il vostro sistema operativo. Scaricate gli aggiornamenti sulla sicurezza non appena vengono installati.
  4. Fate regolarmente un backup dei vostri file.
  5. Scansionate regolarmente il vostro dispositivo.
  6. Scegliete impostazioni d’installazione customizzate o avanzate.

Come eliminare AdLoad dalla vostra macchina

Vediamo adesso come muoversi quando il dispositivo è stato già compromesso da AdLoad.
Il modo più efficace per rimuovere il malware è quello di formattare il proprio dispositivo. In questo modo viene eliminata del tutto ogni minaccia presente. Serve però avere un backup a portata di mano in modo da ripristinare il resto dei file eliminati.

Se proprio non ne volete sapere di formattare il proprio dispositivo, si può cercare di eliminare AdLoad manualmente.
Se però non si è degli esperti, il rischio che l’adware torni a galla è alto.
Per questo motivo, se venite infettato da un adware vi consigliamo di contattare un gruppo di informatici esperti.

  • AdLoad può aver installato profili di configurazione all’interno della macchina per gestire o modificare le preferenze di sistema. Il traffico Internet viene così indirizzato attraverso siti web non sicuri. Bisogna dunque rimuovere tutti i profili che hanno a che fare con AdLoad.
  • Successivamente, si deve trovare e disinstallare tutte le applicazioni sospette che possono essere collegate ad AdLoad. Prestate particolare attenzione a nomi come Shlayer, GlanceHonest, CommonRemote e ActivityConsole.
  • Una volta eliminati questi programmi resta da eliminare i file e le cartelle di AdLoad. In particolare, i file di supporto, l’agente di lancio e i file di tipo daemon che possono rigenerare l’adware.
  • Infine, bisogna ripristinare le impostazioni del browser. Vanno, cioè, tolte tutte le estensioni malevoli che sono state installate; inoltre, va ripristinata la pagina iniziale del sito.
    Oppure, se possedete un valido antivirus, potete assegnare a lui il compito di eliminare l’adware e i file ad esso associati.