Το κακόβουλο λογισμικό Trojan-Proxy ενδέχεται να στοχεύει πολλαπλά λειτουργικά συστήματα
Μη εξουσιοδοτημένοι ιστότοποι που διανέμουν παραποιημένες εκδόσεις σπασμένου λογισμικού έχουν εντοπιστεί ως πηγές μόλυνσης για τους χρήστες του Apple macOS με ένα νέο κακόβουλο λογισμικό Trojan-Proxy.
Οι ερευνητές εξήγησαν ότι οι δράστες μπορούν να εκμεταλλευτούν αυτή τη μορφή κακόβουλου λογισμικού για να δημιουργήσουν έσοδα με τη δημιουργία ενός δικτύου διακομιστή μεσολάβησης ή την εκτέλεση παράνομων δραστηριοτήτων για λογαριασμό του θύματος, όπως επιθέσεις σε ιστότοπους, επιχειρήσεις και άτομα, καθώς και αγοράζοντας πυροβόλα όπλα, ναρκωτικά και άλλα παράνομα αντικείμενα.
Οι ερευνητές ανακάλυψαν στοιχεία που υποδηλώνουν ότι το κακόβουλο λογισμικό αποτελεί απειλή μεταξύ πλατφορμών. Αυτό το συμπέρασμα προκύπτει από την ανακάλυψη τεχνουργημάτων που σχετίζονται με τα Windows και το Android, τα οποία βασίζονταν σε πειρατικά εργαλεία.
Το Trojan-Proxy μεταμφιέζεται ως πειρατικές εφαρμογές
Οι επαναλήψεις του macOS μεταμφιέζονται ως αυθεντικά εργαλεία πολυμέσων, επεξεργασίας εικόνας, ανάκτησης δεδομένων και παραγωγικότητας. Αυτό σημαίνει ότι τα άτομα που αναζητούν πειρατικό λογισμικό είναι οι πρωταρχικοί στόχοι της εκστρατείας. Σε αντίθεση με τα νόμιμα αντίστοιχά τους που διανέμονται ως αρχεία εικόνας δίσκου (.DMG), οι πλαστές εκδόσεις διαδίδονται ως προγράμματα εγκατάστασης .PKG, με ένα σενάριο μετά την εγκατάσταση που ενεργοποιεί κακόβουλη συμπεριφορά μετά την εγκατάσταση.
Ο απώτερος στόχος της καμπάνιας είναι να αναπτύξει το Trojan-Proxy, το οποίο μεταμφιέζεται ως διαδικασία WindowServer στο macOS για να αποφύγει τον εντοπισμό. Ο WindowServer είναι μια θεμελιώδης διαδικασία συστήματος που είναι υπεύθυνη για τη διαχείριση των παραθύρων και την απόδοση του γραφικού περιβάλλοντος χρήστη (GUI) των εφαρμογών.
Κατά την εκκίνηση, το κακόβουλο λογισμικό προσπαθεί να αποκτήσει τη διεύθυνση IP του διακομιστή εντολών και ελέγχου (C2) μέσω DNS-over-HTTPS (DoH) κρυπτογραφώντας αιτήματα και απαντήσεις DNS χρησιμοποιώντας το πρωτόκολλο HTTPS.
Στη συνέχεια, το Trojan-Proxy δημιουργεί επικοινωνία με τον διακομιστή C2 και αναμένει περαιτέρω οδηγίες, συμπεριλαμβανομένης της επεξεργασίας των εισερχόμενων μηνυμάτων για την ερμηνεία της διεύθυνσης IP προς σύνδεση, του πρωτοκόλλου προς χρήση και του μηνύματος προς μετάδοση. Αυτό υποδεικνύει την ικανότητά του να λειτουργεί ως διακομιστής μεσολάβησης μέσω TCP ή UDP για την αναδρομολόγηση της κυκλοφορίας μέσω του παραβιασμένου κεντρικού υπολογιστή.
Οι ερευνητές ανέφεραν ότι ανακάλυψαν περιπτώσεις κακόβουλου λογισμικού που ανέβηκαν στο διαδίκτυο ήδη από τις 28 Απριλίου 2023. Για την αντιμετώπιση τέτοιων απειλών, συνιστάται στους χρήστες να απέχουν από τη λήψη λογισμικού από μη αξιόπιστες πηγές.