Il malware proxy Trojan può prendere di mira più sistemi operativi
I siti Web non autorizzati che distribuiscono versioni manomesse di software crackato sono stati identificati come fonti di infezione per gli utenti di Apple macOS con un nuovo malware Trojan-Proxy.
I ricercatori hanno spiegato che gli autori dei reati possono sfruttare questa forma di malware per generare entrate creando una rete di server proxy o eseguendo attività illecite per conto della vittima, come lanciare assalti a siti Web, aziende e individui, nonché acquistare armi da fuoco, narcotici e altri prodotti. altri oggetti illegali.
I ricercatori hanno scoperto prove che suggeriscono che il malware rappresenta una minaccia multipiattaforma. Questa deduzione è tratta dalla scoperta di artefatti associati a Windows e Android, che si basavano su strumenti piratati.
Trojan-Proxy si maschera da app piratate
Le iterazioni di macOS si mascherano da autentici strumenti multimediali, editing di immagini, recupero dati e produttività. Ciò implica che gli individui che cercano software piratato sono gli obiettivi principali della campagna. A differenza delle loro controparti legittime distribuite come file immagine disco (.DMG), le versioni contraffatte vengono diffuse come programmi di installazione .PKG, dotati di uno script post-installazione che attiva comportamenti dannosi dopo l'installazione.
L'obiettivo finale della campagna è distribuire il Trojan-Proxy, che si maschera da processo WindowServer su macOS per eludere il rilevamento. WindowServer è un processo di sistema fondamentale responsabile della gestione delle finestre e del rendering dell'interfaccia utente grafica (GUI) delle applicazioni.
All'avvio, il malware tenta di acquisire l'indirizzo IP del server di comando e controllo (C2) tramite DNS-over-HTTPS (DoH) crittografando le richieste e le risposte DNS utilizzando il protocollo HTTPS.
Successivamente il Trojan-Proxy stabilisce la comunicazione con il server C2 e attende ulteriori direttive, tra cui l'elaborazione dei messaggi in arrivo per interpretare l'indirizzo IP a cui connettersi, il protocollo da utilizzare e il messaggio da trasmettere. Ciò indica la sua capacità di funzionare come proxy tramite TCP o UDP per reindirizzare il traffico attraverso l'host compromesso.
I ricercatori hanno riferito di aver scoperto casi di malware caricati online già il 28 aprile 2023. Per contrastare tali minacce, si consiglia agli utenti di astenersi dal scaricare software da fonti non attendibili.