Trojan-proxy-malware kan målrette mod flere operativsystemer

Uautoriserede websteder, der distribuerer manipulerede versioner af cracket software, er blevet identificeret som kilder til infektion for Apple macOS-brugere med en ny Trojan-Proxy malware.

Forskere forklarede, at gerningsmænd kan udnytte denne form for malware til at generere indtægter ved at etablere et proxy-servernetværk eller udføre ulovlige aktiviteter på vegne af offeret, såsom at iværksætte overfald på websteder, virksomheder og enkeltpersoner, samt købe skydevåben, narkotika og andre ulovlige genstande.

Forskere har fundet beviser, der tyder på, at malware udgør en trussel på tværs af platforme. Denne slutning er draget fra opdagelsen af artefakter forbundet med Windows og Android, som piggybackede på piratkopierede værktøjer.

Trojan-proxy forklæder sig selv som piratkopierede apps

MacOS-iterationerne forklæder sig som autentiske multimedie-, billedredigerings-, datagendannelses- og produktivitetsværktøjer. Dette indebærer, at personer, der søger piratkopieret software, er de primære mål for kampagnen. I modsætning til deres legitime modparter distribueret som diskimage-filer (.DMG), spredes de forfalskede versioner som .PKG-installationsprogrammer, der indeholder et post-install-script, der udløser ondsindet adfærd efter installationen.

Kampagnens ultimative mål er at implementere Trojan-Proxy, der forklæder sig selv som WindowServer-processen på macOS for at undgå registrering. WindowServer er en grundlæggende systemproces, der er ansvarlig for styring af vinduer og gengivelse af applikationers grafiske brugergrænseflade (GUI).

Ved initiering forsøger malwaren at erhverve IP-adressen på kommando-og-kontrol-serveren (C2) gennem DNS-over-HTTPS (DoH) ved at kryptere DNS-anmodninger og -svar ved hjælp af HTTPS-protokollen.

Efterfølgende etablerer Trojan-Proxy kommunikation med C2-serveren og afventer yderligere direktiver, herunder behandling af indgående beskeder for at fortolke IP-adressen, der skal oprettes forbindelse til, protokollen, der skal anvendes, og beskeden, der skal sendes. Dette indikerer dens evne til at fungere som en proxy via TCP eller UDP for at omdirigere trafik gennem den kompromitterede vært.

Forskere rapporterede at opdage forekomster af malware uploadet online allerede den 28. april 2023. For at imødegå sådanne trusler rådes brugere til at afstå fra at downloade software fra upålidelige kilder.