Złośliwe oprogramowanie typu trojan-proxy może atakować wiele systemów operacyjnych
Nieautoryzowane strony internetowe rozpowszechniające zmodyfikowane wersje złamanego oprogramowania zostały zidentyfikowane jako źródła infekcji użytkowników systemu Apple macOS nowatorskim złośliwym oprogramowaniem typu Trojan-Proxy.
Badacze wyjaśnili, że sprawcy mogą wykorzystać tę formę złośliwego oprogramowania do generowania przychodów, ustanawiając sieć serwerów proxy lub dokonując nielegalnych działań w imieniu ofiary, takich jak przeprowadzanie ataków na strony internetowe, firmy i osoby prywatne, a także zakup broni palnej, narkotyków i inne nielegalne przedmioty.
Badacze odkryli dowody sugerujące, że złośliwe oprogramowanie stanowi zagrożenie dla wielu platform. Wniosek ten wyciągnięto z odkrycia artefaktów związanych z systemami Windows i Android, które wykorzystano na pirackich narzędziach.
Trojan-Proxy podszywa się pod pirackie aplikacje
Wersje systemu MacOS udają autentyczne narzędzia multimedialne, do edycji obrazów, odzyskiwania danych i zwiększające produktywność. Oznacza to, że głównymi celami kampanii są osoby poszukujące pirackiego oprogramowania. W przeciwieństwie do swoich legalnych odpowiedników rozpowszechnianych w postaci plików obrazu dysku (.DMG), fałszywe wersje są rozpowszechniane jako instalatory .PKG zawierające skrypt poinstalacyjny, który uruchamia złośliwe zachowanie po instalacji.
Ostatecznym celem kampanii jest wdrożenie trojana-proxy, który podszywa się pod proces WindowServer w systemie macOS, aby uniknąć wykrycia. WindowServer to podstawowy proces systemowy odpowiedzialny za zarządzanie oknami i renderowanie graficznego interfejsu użytkownika (GUI) aplikacji.
Po zainicjowaniu szkodliwe oprogramowanie próbuje uzyskać adres IP serwera dowodzenia i kontroli (C2) za pośrednictwem protokołu DNS-over-HTTPS (DoH), szyfrując żądania i odpowiedzi DNS przy użyciu protokołu HTTPS.
Następnie Trojan-Proxy nawiązuje komunikację z serwerem C2 i oczekuje na dalsze instrukcje, w tym przetwarzanie przychodzących wiadomości w celu interpretacji adresu IP, z którym należy się połączyć, protokołu, którego należy użyć oraz wiadomości, którą należy przesłać. Wskazuje to na jego zdolność do działania jako serwer proxy za pośrednictwem protokołu TCP lub UDP w celu przekierowania ruchu przez zaatakowany host.
Badacze zgłosili wykrycie przypadków szkodliwego oprogramowania przesłanego do Internetu już 28 kwietnia 2023 r. Aby przeciwdziałać takim zagrożeniom, użytkownikom zaleca się powstrzymywanie się od pobierania oprogramowania z niezaufanych źródeł.