Вредоносное ПО-троян-прокси может быть нацелено на несколько операционных систем
Неавторизованные веб-сайты, распространяющие поддельные версии взломанного программного обеспечения, были идентифицированы как источники заражения пользователей Apple macOS новым вредоносным ПО Trojan-Proxy.
Исследователи объяснили, что злоумышленники могут использовать эту форму вредоносного ПО для получения дохода путем создания сети прокси-серверов или выполнения незаконных действий от имени жертвы, таких как нападения на веб-сайты, предприятия и частных лиц, а также покупка огнестрельного оружия, наркотиков и другие незаконные предметы.
Исследователи обнаружили доказательства того, что вредоносное ПО представляет собой межплатформенную угрозу. Этот вывод сделан на основе обнаружения артефактов, связанных с Windows и Android, которые сочетались с пиратскими инструментами.
Троян-прокси маскируется под пиратские приложения
Итерации macOS маскируются под настоящие инструменты мультимедиа, редактирования изображений, восстановления данных и повышения производительности. Это означает, что основной целью кампании являются лица, ищущие пиратское программное обеспечение. В отличие от своих законных аналогов, распространяемых в виде файлов образа диска (.DMG), поддельные версии распространяются как установщики .PKG, содержащие сценарий после установки, который запускает вредоносное поведение после установки.
Конечная цель кампании — развертывание трояна-прокси, который маскируется под процесс WindowServer в macOS, чтобы избежать обнаружения. WindowServer — это фундаментальный системный процесс, отвечающий за управление окнами и отображение графического пользовательского интерфейса (GUI) приложений.
При запуске вредоносная программа пытается получить IP-адрес сервера управления (C2) через DNS-over-HTTPS (DoH), шифруя запросы и ответы DNS с использованием протокола HTTPS.
После этого Trojan-Proxy устанавливает связь с сервером C2 и ожидает дальнейших указаний, включая обработку входящих сообщений для интерпретации IP-адреса для подключения, используемого протокола и сообщения для передачи. Это указывает на его способность функционировать в качестве прокси через TCP или UDP для перенаправления трафика через скомпрометированный хост.
Исследователи сообщили об обнаружении экземпляров вредоносного ПО, загруженного в Интернет еще 28 апреля 2023 года. Чтобы противостоять таким угрозам, пользователям рекомендуется воздерживаться от загрузки программного обеспечения из ненадежных источников.