Trojos arklio tarpinio serverio kenkėjiška programa gali būti nukreipta į kelias operacines sistemas

Nustatyta, kad neteisėtos svetainės, platinančios sugadintas nulaužtos programinės įrangos versijas, „Apple macOS“ naudotojų užkrėtimo naujomis Trojan-Proxy kenkėjiškomis programomis šaltiniais.

Tyrėjai paaiškino, kad nusikaltėliai gali panaudoti šią kenkėjiškų programų formą, kad gautų pajamų, sukurdami tarpinių serverių tinklą arba vykdydami neteisėtą veiklą aukos vardu, pavyzdžiui, pradėdami užpuolimus prieš svetaines, įmones ir asmenis, taip pat įsigydami šaunamuosius ginklus, narkotines medžiagas ir kitų nelegalių daiktų.

Tyrėjai aptiko įrodymų, kad kenkėjiška programa kelia grėsmę kelioms platformoms. Ši išvada padaryta atradus artefaktus, susijusius su „Windows“ ir „Android“, kurie naudojo piratinius įrankius.

Trojos arklys tarpinis serveris prisidengia piratinėmis programėlėmis

„MacOS“ iteracijos yra autentiškos daugialypės terpės, vaizdo redagavimo, duomenų atkūrimo ir produktyvumo įrankiai. Tai reiškia, kad piratinės programinės įrangos ieškantys asmenys yra pagrindiniai kampanijos taikiniai. Skirtingai nuo jų teisėtų analogų, platinamų kaip disko vaizdo (.DMG) failai, padirbtos versijos platinamos kaip .PKG diegimo programos, turinčios scenarijų po įdiegimo, kuris po įdiegimo suaktyvina kenkėjišką elgesį.

Galutinis kampanijos tikslas yra įdiegti „Trojan-Proxy“, kuris „MacOS“ sistemoje prisidengia „Windows“ serverio procesu, kad išvengtų aptikimo. „WindowServer“ yra pagrindinis sistemos procesas, atsakingas už langų valdymą ir programų grafinės vartotojo sąsajos (GUI) pateikimą.

Paleidus, kenkėjiška programa stengiasi gauti komandų ir valdymo (C2) serverio IP adresą per DNS-over-HTTPS (DoH), šifruodama DNS užklausas ir atsakymus naudodama HTTPS protokolą.

Vėliau Trojan-Proxy užmezga ryšį su C2 serveriu ir laukia tolesnių nurodymų, įskaitant gaunamų pranešimų apdorojimą, kad būtų interpretuojamas IP adresas, prie kurio reikia prisijungti, naudojamas protokolas ir perduodamas pranešimas. Tai rodo, kad jis gali veikti kaip tarpinis serveris per TCP arba UDP, kad nukreiptų srautą per pažeistą pagrindinį kompiuterį.

Tyrėjai pranešė, kad jau 2023 m. balandžio 28 d. aptiko internete įkeltos kenkėjiškos programos. Siekiant kovoti su tokiomis grėsmėmis, naudotojams patariama nesisiųsti programinės įrangos iš nepatikimų šaltinių.