Trojan-Proxy Malware kan rikta sig mot flera operativsystem
Otillåtna webbplatser som distribuerar manipulerade versioner av knäckt programvara har identifierats som infektionskällor för Apple macOS-användare med en ny Trojan-Proxy malware.
Forskare förklarade att förövare kan utnyttja denna form av skadlig programvara för att generera intäkter genom att etablera ett proxyservernätverk eller utföra olagliga aktiviteter för offrets räkning, som att utföra övergrepp på webbplatser, företag och individer, samt köpa skjutvapen, narkotika och andra olagliga föremål.
Forskare upptäckte bevis som tyder på att skadlig programvara utgör ett hot över flera plattformar. Denna slutsats dras från upptäckten av artefakter förknippade med Windows och Android, som piggybackade på piratkopierade verktyg.
Trojan-Proxy klär ut sig som piratkopierade appar
MacOS-iterationerna maskerar sig som autentiska multimedia-, bildredigerings-, dataåterställnings- och produktivitetsverktyg. Detta innebär att individer som söker piratkopierad programvara är kampanjens primära mål. Till skillnad från deras legitima motsvarigheter distribuerade som diskavbildningsfiler (.DMG) sprids de förfalskade versionerna som .PKG-installatörer, med ett efterinstallationsskript som utlöser skadligt beteende efter installationen.
Kampanjens slutmål är att distribuera Trojan-Proxyn, som klär ut sig som WindowServer-processen på macOS för att undvika upptäckt. WindowServer är en grundläggande systemprocess som ansvarar för att hantera fönster och rendera det grafiska användargränssnittet (GUI) för applikationer.
Vid initiering strävar den skadliga programvaran efter att skaffa IP-adressen för kommando-och-kontroll-servern (C2) genom DNS-over-HTTPS (DoH) genom att kryptera DNS-förfrågningar och svar med hjälp av HTTPS-protokollet.
Därefter upprättar Trojan-Proxy kommunikation med C2-servern och inväntar ytterligare direktiv, inklusive bearbetning av inkommande meddelanden för att tolka IP-adressen att ansluta till, protokollet som ska användas och meddelandet som ska överföras. Detta indikerar dess förmåga att fungera som en proxy via TCP eller UDP för att omdirigera trafik genom den komprometterade värden.
Forskare rapporterade att de upptäckte instanser av skadlig programvara som laddats upp online så tidigt som den 28 april 2023. För att motverka sådana hot rekommenderas användare att avstå från att ladda ner programvara från opålitliga källor.