Было обнаружено, что несанкционированные веб-сайты, распространяющие троянские версии взломанного программного обеспечения, заражают пользователей Apple macOS новой вредоносной программой Trojan-Proxy.
"Злоумышленники могут использовать этот тип вредоносного ПО для получения денег путем создания сети прокси-серверов или для совершения преступных действий от имени жертвы: для запуска атак на веб-сайты, компании и частных лиц, покупки оружия, наркотиков и других незаконных товаров", - сказал исследователь Kaspersky security Сергей Пузан.
Российская компания по кибербезопасности заявила, что обнаружила доказательства, указывающие на то, что вредоносное ПО представляет собой кроссплатформенную угрозу из-за обнаруженных артефактов для Windows и Android, которые связаны с пиратскими инструментами.
Варианты macOS распространяются под видом законных мультимедийных средств, средств редактирования изображений, восстановления данных и средств повышения производительности. Это наводит на мысль, что целью кампании являются пользователи, ищущие пиратское программное обеспечение.
В отличие от своих подлинных, неизмененных аналогов, которые предлагаются в виде файлов образа диска (.DMG), мошеннические версии поставляются в виде установщиков .PKG, которые поставляются со скриптом для последующей установки, который активирует вредоносное поведение после установки.
"Поскольку установщик часто запрашивает разрешения администратора для работы, скрипт, запускаемый процессом установки, наследует их", - отметил Пузан.
Конечная цель кампании - запустить Trojan-Proxy, который маскируется под процесс WindowServer в macOS, чтобы избежать обнаружения. WindowServer - это основной системный процесс, отвечающий за управление окнами и визуализацию графического интерфейса пользователя (GUI) приложений.
При запуске он пытается получить IP-адрес командно-контрольного сервера (C2) для подключения через DNS поверх HTTPS (DoH) путем шифрования DNS-запросов и ответов с использованием протокола HTTPS.
Впоследствии Trojan-Proxy устанавливает контакт с сервером C2 и ожидает дальнейших инструкций, включая обработку входящих сообщений для анализа IP-адреса для подключения, используемого протокола и отправляемого сообщения, сигнализируя о том, что он способен действовать как прокси-сервер через TCP или UDP для перенаправления трафика через зараженный хост.
Kaspersky заявила, что обнаружила образцы вредоносного ПО, загруженные в механизм сканирования VirusTotal еще 28 апреля 2023 года. Для предотвращения подобных угроз пользователям рекомендуется избегать загрузки программного обеспечения из ненадежных источников.
