Trojan-proxy-malware kan målrettes mot flere operativsystemer
Uautoriserte nettsteder som distribuerer tuklet versjoner av cracked programvare er identifisert som kilder til infeksjon for Apple macOS-brukere med en ny Trojan-Proxy malware.
Forskere forklarte at gjerningsmenn kan utnytte denne formen for skadelig programvare for å generere inntekter ved å etablere et proxy-servernettverk eller utføre ulovlige aktiviteter på vegne av offeret, som å starte angrep på nettsteder, bedrifter og enkeltpersoner, samt kjøpe skytevåpen, narkotika og andre ulovlige gjenstander.
Forskere oppdaget bevis som tyder på at skadelig programvare utgjør en trussel på tvers av plattformer. Denne slutningen er trukket fra oppdagelsen av artefakter assosiert med Windows og Android, som piggybacked på piratkopierte verktøy.
Trojan-proxy forkler seg som piratkopierte apper
MacOS-gjentakelsene maskerer seg som autentisk multimedia, bilderedigering, datagjenoppretting og produktivitetsverktøy. Dette innebærer at enkeltpersoner som søker piratkopiert programvare er de primære målene for kampanjen. I motsetning til deres legitime motparter distribuert som diskbildefiler (.DMG), spres de forfalskede versjonene som .PKG-installatører, med et skript etter installasjon som utløser ondsinnet oppførsel etter installasjon.
Det endelige målet med kampanjen er å distribuere Trojan-Proxy, som forkledd seg som WindowServer-prosessen på macOS for å unngå gjenkjenning. WindowServer er en grunnleggende systemprosess som er ansvarlig for å administrere vinduer og gjengi det grafiske brukergrensesnittet (GUI) til applikasjoner.
Ved initiering forsøker skadevaren å skaffe IP-adressen til kommando-og-kontroll-serveren (C2) gjennom DNS-over-HTTPS (DoH) ved å kryptere DNS-forespørsler og svar ved hjelp av HTTPS-protokollen.
Deretter etablerer Trojan-Proxy kommunikasjon med C2-serveren og venter på ytterligere direktiver, inkludert behandling av innkommende meldinger for å tolke IP-adressen som skal kobles til, protokollen som skal brukes og meldingen som skal overføres. Dette indikerer dens evne til å fungere som en proxy via TCP eller UDP for å omdirigere trafikk gjennom den kompromitterte verten.
Forskere rapporterte å oppdage forekomster av skadelig programvare lastet opp på nettet allerede 28. april 2023. For å motvirke slike trusler anbefales brukere å avstå fra å laste ned programvare fra upålitelige kilder.