Эта вредоносная программа превратила тысячи взломанных компьютеров с Windows и macOS в прокси-серверы

[Carding]

Злоумышленники используют доступ к зараженным вредоносным ПО компьютерам под управлением Windows и macOS для доставки приложения прокси-сервера и используют их в качестве выходных узлов для перенаправления прокси-запросов.

По данным AT & T Alien Labs, неназванная компания, предлагающая прокси-сервис, управляет более чем 400 000 выходными узлами прокси, хотя не сразу ясно, сколько из них было задействовано вредоносным ПО, установленным на зараженных машинах без ведома пользователя и взаимодействия с ним.

"Хотя веб-сайт proxy утверждает, что его выходные узлы поступают только от пользователей, которые были проинформированы и согласились на использование их устройства", компания по кибербезопасности заявила, что обнаружила доказательства того, что "разработчики вредоносных программ незаметно устанавливают прокси-сервер в зараженных системах".

Было замечено, что несколько семейств вредоносных программ предоставляют прокси пользователям, ищущим взломанное программное обеспечение и игры. Программное обеспечение прокси, написанное на языке программирования Go, способно работать как с Windows, так и с macOS, причем первая способна избежать обнаружения с помощью действительной цифровой подписи.

Помимо получения дальнейших инструкций с удаленного сервера, прокси настроен для сбора информации о взломанных системах, включая запущенные процессы, использование процессора и памяти, а также состояние батареи. Более того, установка программного обеспечения прокси сопровождается развертыванием дополнительных вредоносных или рекламных элементов.

"Монетизация вредоносного ПО, распространяющего прокси-серверы через партнерскую программу, сопряжена с трудностями, поскольку создает формальную структуру для увеличения скорости распространения этой угрозы", - сказал исследователь безопасности Офер Каспи.

Раскрытие основано на предыдущих выводах AT & T, в которых компьютеры macOS, скомпрометированные AdLoad рекламным ПО, были подключены к гигантской локальной прокси-ботнету, повышая вероятность того, что операторы AdLoad могли запускать кампанию с оплатой за установку.

AdLoad - один из крупнейших известных видов рекламного ПО, нацеленного на macOS. Известно, что Adload выдает себя за популярные видеоплееры и другие широко используемые приложения, захватывает браузеры и заставляет жертв посещать потенциально вредоносные веб-сайты, позволяя киберпреступникам извлекать выгоду из схем.

"Повсеместный характер AdLoad, потенциально заражающий тысячи устройств по всему миру, указывает на то, что пользователи устройств macOS являются выгодной целью для злоумышленников, стоящих за этим вредоносным ПО, и их обманом заставляют загружать и устанавливать нежелательные приложения", - заявили в компании.

"Рост числа вредоносных программ, предоставляющих прокси-приложения в качестве выгодных инвестиций, чему способствуют партнерские программы, подчеркивает хитрый характер тактики противников. Эти прокси, тайно установленные с помощью заманчивых предложений или скомпрометированного программного обеспечения, служат каналами для получения несанкционированной финансовой выгоды".

Разработка происходит по мере того, как системы macOS все чаще становятся ценной мишенью, а в темной Сети наблюдается 1000-процентный рост числа участников угроз, рекламирующих способы кражи информации и сложные инструменты, которые могут обойти функции безопасности macOS, а именно Gatekeeper и Transparency, Consent and Control (TCC) с 2019 года.

"В 2022 году и первой половине 2023 года активность, нацеленная на macOS, усилилась", - говорится в отчете Accenture, опубликованном в этом месяце.

"Сочетание растущего использования macOS в корпоративных средах, высоких потенциальных доходов злоумышленников, желающих и способных использовать macOS, и растущего спроса на инструменты и изделия macOS предполагает, что эта тенденция сохранится".

Румынская компания по кибербезопасности Bitdefender в своем собственном отчете об угрозах macOS сообщила, что в прошлом году пользователи Mac в основном подвергались трем ключевым угрозам: троянам (51,8%), потенциально нежелательным приложениям (25,3%) и рекламному ПО (22,6%).

"EvilQuest остается самой распространенной вредоносной программой, нацеленной на компьютеры Mac (52,7%)", - отмечается в отчете. "Троянские программы, предназначенные для использования не исправленных уязвимостей, представляют реальную опасность для пользователей, которые обычно откладывают установку последних исправлений безопасности от Apple".