トロイの木馬プロキシ マルウェアは複数のオペレーティング システムを標的にする可能性がある

クラックされたソフトウェアの改ざんされたバージョンを配布する不正な Web サイトが、新しい Trojan-Proxy マルウェアによる Apple macOS ユーザーの感染源として特定されました。

研究者らは、加害者がこの形式のマルウェアを利用して、プロキシ サーバー ネットワークを確立したり、被害者に代わって Web サイト、企業、個人に対する攻撃を開始したり、銃器、麻薬、麻薬などを購入したりするなどの違法行為を実行して収益を得る可能性があると説明しました。その他違法な物品。

研究者らは、このマルウェアがクロスプラットフォームの脅威をもたらすことを示唆する証拠を発見しました。この推論は、海賊版ツールに便乗した Windows と Android に関連するアーティファクトの発見から導き出されています。

海賊版アプリを装うトロイの木馬プロキシ

macOS の反復は、本物のマルチメディア、画像編集、データ回復、生産性ツールを装っています。これは、海賊版ソフトウェアを探している個人がキャンペーンの主なターゲットであることを意味します。ディスク イメージ (.DMG) ファイルとして配布される正規版とは異なり、偽造バージョンは、インストール後に悪意のある動作を引き起こすインストール後スクリプトを備えた .PKG インストーラーとして配布されます。

このキャンペーンの最終的な目的は、macOS 上で WindowServer プロセスを装って検出を逃れる Trojan-Proxy を展開することです。 WindowServer は、ウィンドウの管理とアプリケーションのグラフィカル ユーザー インターフェイス (GUI) のレンダリングを担当する基本的なシステム プロセスです。

マルウェアは開始時に、HTTPS プロトコルを使用して DNS 要求と応答を暗号化し、DNS-over-HTTPS (DoH) 経由でコマンド アンド コントロール (C2) サーバーの IP アドレスを取得しようとします。

その後、Trojan-Proxy は C2 サーバーとの通信を確立し、受信メッセージを処理して接続先の IP アドレス、使用するプロトコル、送信するメッセージを解釈するなどのさらなる指示を待ちます。これは、TCP または UDP 経由でプロキシとして機能し、侵害されたホストを介してトラフィックを再ルーティングする機能を示しています。

研究者らは、早ければ2023年4月28日にオンラインにアップロードされたマルウェアのインスタンスを発見したと報告しました。このような脅威に対抗するために、ユーザーは信頼できないソースからソフトウェアをダウンロードしないことをお勧めします。