特洛伊木马代理恶意软件可能针对多个操作系统
未经授权的网站分发破解软件的篡改版本已被确定为 Apple macOS 用户感染新型 Trojan-Proxy 恶意软件的来源。
研究人员解释说,犯罪者可以利用这种形式的恶意软件通过建立代理服务器网络或代表受害者执行非法活动来产生收入,例如对网站、企业和个人发起攻击,以及购买枪支、毒品和毒品等。其他非法物品。
研究人员发现的证据表明该恶意软件构成了跨平台威胁。这一推论是从与 Windows 和 Android 相关的工件的发现中得出的,这些工件搭载了盗版工具。
代理特洛伊木马将自己伪装成盗版应用程序
macOS 迭代伪装成真正的多媒体、图像编辑、数据恢复和生产力工具。这意味着寻求盗版软件的个人是该活动的主要目标。与以磁盘映像 (.DMG) 文件形式分发的合法版本不同,假冒版本以 .PKG 安装程序形式传播,具有安装后脚本,可在安装后触发恶意行为。
该活动的最终目标是部署特洛伊木马代理,该木马代理将自己伪装成 macOS 上的 WindowServer 进程以逃避检测。 WindowServer 是一个基本的系统进程,负责管理窗口和呈现应用程序的图形用户界面(GUI)。
启动后,恶意软件会尝试使用 HTTPS 协议加密 DNS 请求和响应,通过 DNS-over-HTTPS (DoH) 获取命令和控制 (C2) 服务器的 IP 地址。
随后,Trojan-Proxy 与 C2 服务器建立通信并等待进一步指令,包括处理传入消息以解释要连接的 IP 地址、要使用的协议以及要传输的消息。这表明它能够通过 TCP 或 UDP 作为代理,通过受感染的主机重新路由流量。
研究人员报告称,早在 2023 年 4 月 28 日就发现了在线上传的恶意软件实例。为了应对此类威胁,建议用户不要从不受信任的来源下载软件。