威胁行为者利用感染了恶意软件的Windows和macOS机器的访问权限，交付代理服务器应用程序，并将它们用作退出节点以重新路由代理请求。根据AT&T Alien Labs的说法，提供代理服务的未命名公司运营着超过40万个代理退出节点，尽管目前尚不清楚有多少节点是通过在感染的机器上安装恶意软件而无需用户知识和互动而被劫持的。

　　尽管代理网站声称其退出节点仅来自已被告知并同意使用其设备的用户，这家网络安全公司表示虚拟服务器代理ip，他们发现了恶意软件作者在感染系统中默默安装代理的证据。已观察到多个恶意软件家族向搜索破解软件和游戏的用户交付代理。代理软件使用Go编程语言编写，能够针对Windows和macOS，前者能够通过使用有效的数字签名来逃避检测。

　　除了从远程服务器接收进一步的指令外，代理还配置为收集有关被黑客攻击系统的信息，包括运行的进程、CPU和内存利用率以及电池状态。此外，代理软件的安装还伴随着其他恶意软件或广告软件元素的部署。

　　通过联盟计划推广恶意软件传播的代理服务器的变现方式令人不安，因为它为此威胁的传播速度增加了一个正式结构，安全研究员Ofer Caspi说。AT&T之前的调查结果表明，被AdLoad广告软件感染的macOS机器被收编成一个庞大的住宅代理僵尸网络，这意味着AdLoad的运营者可能在进行按安装付费的活动。

　　AdLoad是已知的针对macOS的最大广告软件之一。它冒充流行的视频播放器和其他广泛使用的应用程序，劫持浏览器并强制受害者访问潜在的恶意网站，使网络犯罪分子能够通过这些方案获利。AdLoad的普及程度潜在地感染了全球数千台设备，表明macOS设备的用户是此恶意软件背后的对手的一个有利可图的目标，并且被诱使下载和安装不需要的应用程序，该公司表示。

　　恶意软件传递代理应用程序作为有利可图的投资的兴起，通过联盟计划促进，突显了对手策略的狡猾性质。这些代理通过诱人的优惠或被感染的软件秘密安装，作为未经授权的财务收益渠道。

　　与此同时，macOS系统越来越成为受追捧的目标，暗网见证了对信息窃取恶意软件和可以绕过macOS安全功能（Gatekeeper和透明度、同意和控制）的复杂工具的威胁行为者广告的1000%增长。

　　在2022年和2023年上半年，针对macOS的活动已经加剧，Accenture在本月发布的一份报告中说。企业环境中越来越多地使用macOS、威胁行为者愿意并且能够针对macOS进行攻击的潜在收益以及对macOS工具和商品的需求激增，这些因素表明这一趋势将继续存在。

　　罗马尼亚网络安全公司Bitdefender在其自己的macOS威胁景观报告中指出，过去一年，Mac用户主要受到三种主要威胁的攻击：特洛伊木马（51.8%）、潜在不受欢迎的应用程序（25.3%）和广告软件（22.6%）。EvilQuest仍然是针对Mac的最常见的恶意软件，占比52.7%。它指出，旨在利用未修补漏洞的特洛伊木马对通常拖延安装最新Apple安全补丁的用户构成了真正的危险。