A trójai proxy malware több operációs rendszert is megcélozhat

A feltört szoftverek manipulált verzióit terjesztő, jogosulatlan webhelyek az Apple macOS-felhasználók számára egy új trójai proxy kártevő fertőzési forrásként azonosíthatók.

A kutatók kifejtették, hogy az elkövetők a rosszindulatú programok e formáját bevételszerzésre használhatják fel proxyszerver-hálózat létrehozásával vagy az áldozat nevében tiltott tevékenységek végrehajtásával, például webhelyek, vállalkozások és magánszemélyek elleni támadásokkal, valamint lőfegyverek, kábítószerek és kábítószerek vásárlásával. egyéb illegális tárgyakat.

A kutatók olyan bizonyítékokat fedeztek fel, amelyek arra utalnak, hogy a kártevő platformok közötti fenyegetést jelent. Ezt a következtetést a Windowshoz és az Androidhoz kapcsolódó műtermékek felfedezéséből vonják le, amelyek kalózeszközökön nyúltak vissza.

A trójai proxy kalózalkalmazásoknak álcázza magát

A macOS-iterációk hiteles multimédiás, képszerkesztő, adat-helyreállítási és termelékenységi eszközöknek álcázzák magukat. Ez azt jelenti, hogy a kalózszoftvert kereső egyének a kampány elsődleges célpontjai. Ellentétben a lemezkép (.DMG) fájlként terjesztett törvényes társaikkal, a hamisított verziók .PKG telepítőként kerülnek terjesztésre, amelyek egy telepítés utáni szkriptet tartalmaznak, amely a telepítés után rosszindulatú viselkedést vált ki.

A kampány végső célja a trójai proxy telepítése, amely a macOS-en WindowServer folyamatnak álcázza magát, hogy elkerülje az észlelést. A WindowServer egy alapvető rendszerfolyamat, amely az ablakok kezeléséért és az alkalmazások grafikus felhasználói felületének (GUI) megjelenítéséért felelős.

Indításkor a rosszindulatú program megpróbálja megszerezni a parancs- és vezérlő (C2) szerver IP-címét a DNS-over-HTTPS (DoH) protokollon keresztül, a DNS-kérések és -válaszok HTTPS-protokoll használatával történő titkosításával.

Ezt követően a Trojan-Proxy kommunikációt létesít a C2 szerverrel, és további direktívákra vár, beleértve a bejövő üzenetek feldolgozását, hogy értelmezze a csatlakozáshoz szükséges IP-címet, a használandó protokollt és a továbbítandó üzenetet. Ez azt jelzi, hogy képes proxyként működni TCP-n vagy UDP-n keresztül a forgalom átirányításához a feltört gazdagépen keresztül.

A kutatók arról számoltak be, hogy már 2023. április 28-án felfedezték az interneten feltöltött rosszindulatú programokat. Az ilyen fenyegetések ellen a felhasználóknak azt tanácsolják, hogy tartózkodjanak a nem megbízható forrásokból származó szoftverek letöltésétől.