AdLoad
AdLoad est un outil malveillant visant à introduire des logiciels publicitaires potentiellement ennuyeux dans votre système Mac. L'outil est en circulation depuis près de trois ans maintenant, ne montrant aucun signe de ralentissement. Sa longue durée est due à sa capacité à évoluer assez rapidement pour éviter d'être détecté. Tout au long de son évolution, AdLoad aurait abandonné des dizaines d'applications potentiellement indésirables (PUA) - Kreberisec, SearchDaemon, DataSearch, ApolloSearch, AphroditeResults et bien d'autres (voir la liste ci-dessous) - sur un nombre incalculable de systèmes MacOS dans le monde. Compte tenu de la nature de ces applications, AdLoad ne se comporte pas comme une menace typique de niveau grave. Cependant, son comportement persistant transforme toute tentative de suppression en une tâche assez difficile.
Table des matières
Un pirate de l’air ou un cheval de Troie?
AdLoad semble avoir un caractère douteux. D'une part, il partage les traits typiques des pirates de navigateur classiques. Il se présente sous la forme d'une fausse mise à jour logicielle ou d'un téléchargement au volant. D'un autre côté, certains chercheurs ont tendance à classer AdLoad comme une entité de type cheval de Troie en raison de sa fonctionnalité de porte dérobée permettant de planter toutes sortes de PUA dans un système Mac hôte.
Une fois dedans, AdLoad redirige l'activité de navigation Web des victimes vers des serveurs prédéterminés au moyen d'attaques man-in-the-middle. De telles redirections se produisent généralement chaque fois que les acteurs en charge souhaitent monétiser les revenus publicitaires en redirigeant les utilisateurs d'ordinateurs vers des sites infestés de publicités au paiement par clic (PPC). Bien que ce modèle publicitaire ne soit en aucun cas nuisible lorsqu'il est appliqué avec les moteurs de recherche les plus populaires sur le Web, il peut causer des problèmes s'il est exploité pour de mauvaises raisons. Ce dernier implique généralement des annonceurs qui paient des moteurs de recherche moins connus pour générer du trafic vers des sites Web à forte teneur en PPC et de nature pas trop savoureuse.
La diffusion d'AdLoad peut avoir lieu lors du chargement d'applications groupées ou de logiciels gratuits. Il peut y avoir des cas d'installation d'AdLoad via les invites de Flash Player, comme le montre l'image ci-dessous. Souvent, une telle invite d'installation de Flash Player est un site Web qui a chargé un script ou une page qui tente d'inciter les utilisateurs d'ordinateurs à télécharger et à installer les fichiers associés à AdLoad, permettant ainsi l'installation d'AdLoad où il peut alors bombarder les utilisateurs d'ordinateurs Mac avec pop- des publicités.
Exemple d'invite d'installation d'AdLoad via un message d'installation de Flash Player.
Malgré la longévité d'AdLoad, il reste difficile à détecter à ce jour, comme le montre VirusTotal, car l'adware plante divers fichiers dans un grand nombre de répertoires. La plupart des données sont déposées dans plusieurs dossiers de la section Bibliothèque locale. Ensuite, il exécute un ou plusieurs exécutables, qui établissent une connexion de bureau à distance via un script python. Outre les dossiers visibles dans la section Bibliothèque locale, AdLoad peut créer un dossier caché conçu pour maintenir le logiciel publicitaire en cours d'exécution.
Indicateurs d’une infection AdLoad
Comme tout autre logiciel publicitaire, AdLoad peut ralentir votre système, vous apporter d'innombrables publicités et vous conduire vers des sites Web que vous n'avez peut-être jamais vus auparavant. Les publicités peuvent proposer de fausses mises à jour logicielles, des téléchargements au volant, des produits et services attrayants. Méfiez-vous de ce dernier, cependant. Surtout s'ils semblent trop beaux pour être vrais.
PUA associés
AdLoad aurait apporté des dizaines de PUA à des ordinateurs ciblés basés sur MacOS. Certains de ces PUA incluent, mais ne sont pas limités à: WebSearchStride, TotalAdviseSearch, Sorimbrsec, SkilledProjectSearch, SearchRange, SearchNetCharacter, PositiveSearch, KeyWordsSearch, MajorChannelSearch, AlphaLookup, GoldResults, GlobalQuestSearch, LeadingSignSearch, OdysseusLookup, ExpertModuleSearch, TaboolView NetToolboxSearch, SimpleFunctionSearch, AresLookup, PublicAdviseSearch, MajorLetterSearch, SearchArchive, SearchRange, CalypsoLookup, BinarySignSearch, etc.
La liste ci-dessus n'est qu'un avant-goût du AdLoad Adware est capable d'apporter à la table. Si un ou plusieurs de ces noms vous disent quelque chose, il y a de fortes chances que vous ayez une infection AdLoad en cours et que vous deviez prendre des mesures.
Conseils de suppression
Pour commencer, vous pouvez suivre la procédure de suppression conventionnelle en mettant dans la corbeille toutes les applications suspectes ou inconnues que vous rencontrez dans votre dossier Applications. Ensuite, vous pouvez nettoyer tous les fichiers AdLoad résiduels que vous trouverez dans votre bibliothèque. Portez une attention particulière au dossier LaunchAgents en particulier. Cependant, n'oubliez pas de parcourir tous les dossiers de la bibliothèque. Bien que ces étapes puissent faire l'affaire, analyser votre système avec une solution anti-malware réputée ne nuira pas. Nous vous recommandons fortement de faire ce dernier, car AdLoad s'est avéré être persistant au-delà de toute mesure lorsqu'il est attaqué.
