Trooja-puhverserveri pahavara
Piraattarkvara platvormidena töötavad petturlikud veebisaidid on tuvastatud troojastatud rakenduste peamise allikana, mis nakatavad MacOS-i kasutajaid uudse Trooja-puhverserveri pahavaraga. See pahavara võimaldab ründajatel teenida tulu, luues puhverserverite võrgu või sooritades ohvri nimel ebaseaduslikke tegevusi. Sellised tegevused võivad hõlmata veebisaitide, ettevõtete ja üksikisikute vastu suunatud rünnakuid, samuti tulirelvade, narkootikumide ja muude ebaseaduslike esemete ostmist.
Küberturvalisuse eksperdid on avastanud tõendeid, mis viitavad sellele, et see pahavara kujutab endast platvormidevahelist ohtu. Seda kinnitavad nii Windowsi kui ka Androidi süsteemide jaoks avastatud artefaktid, mis olid seotud piraattööriistadega.
Sisukord
Trooja puhverserveri pahavara on võimeline nakatama macOS-i seadmeid
Kampaania macOS-i variandid levivad maskeerides end legitiimse multimeedia, pilditöötluse, andmete taastamise ja produktiivsuse tööriistadena. See näitab, et piraattarkvara otsivad isikud saavad rünnaku keskpunktiks. Erinevalt nende autentsetest analoogidest, mida levitatakse kettakujutise (.DMG) failidena, tarnitakse võltsitud versioone .PKG installiprogrammidena. Need installijad sisaldavad installijärgset skripti, mis käivitab pärast installiprotsessi pahatahtlikke tegevusi. Kuna installijad taotlevad tavaliselt administraatori õigusi, pärib käivitatav skript need õigused.
Kampaania lõppeesmärk on vabastada Trooja-puhverserver, mis maskeerib end MacOS-is WindowServeri protsessiks, et vältida tuvastamist. WindowServer toimib põhilise süsteemiprotsessina, mis vastutab Windowsi haldamise ja rakenduste graafilise kasutajaliidese (GUI) renderdamise eest.
Trooja puhverserver ootab salaja ründajatelt juhiseid
Ohustatud seadmes käivitamisel püüab pahavara hankida käsu-ja juhtimise (C2) serveri IP-aadressi, et luua ühendus DNS-over-HTTPS (DoH) kaudu. See saavutatakse DNS-i päringute ja vastuste krüptimisega HTTPS-protokolli abil.
Seejärel loob Trooja-puhverserver side C2-serveriga, oodates edasisi juhiseid. See töötleb sissetulevaid sõnumeid, et eraldada teavet, nagu IP-aadress, millega ühenduse luua, protokoll, mida kasutada, ja edastatav sõnum. See tähendab selle võimet toimida puhverserverina TCP või UDP kaudu, suunates liiklust ümber nakatunud hosti.
Teadlaste esitatud teabe kohaselt saab Trojan-Puhverserveri pahavara tuvastada juba 28. aprillil 2023. Selliste ohtude vastu võitlemiseks soovitatakse kasutajatel tungivalt proovida mitte alla laadida tarkvara ebausaldusväärsetest allikatest.
Trooja ohte saab programmeerida ellu viima mitmesuguseid ohtlikke toiminguid
Trooja pahavara kujutab oma petliku ja mitmetahulise olemuse tõttu kasutajatele mitmesuguseid riske. Kasutajatel soovitatakse tungivalt rakendada oma seadmetes kõikehõlmavat turvalähenemist, vastasel juhul võivad Trooja nakkuse korral tekkida märkimisväärsed tagajärjed:
- Varjatud kasulikud koormused : troojalased maskeerivad end seaduslikuks tarkvaraks või failiks, meelitades kasutajaid tahtmatult pahatahtlikku koodi installima. Peidetud kasulikud koormad võivad sisaldada lunavara, nuhkvara, klahvilogijaid või muud tüüpi hävitavat tarkvara.
- Andmete vargus : troojalaste eesmärk on sageli koguda teatud teavet, sealhulgas sisselogimismandaate, finantsandmeid või isikuandmeid. Seda kogutud teavet saab kasutada erinevatel ebaturvalistel eesmärkidel, sealhulgas identiteedivargus, finantspettus või volitamata juurdepääs tundlikele kontodele.
- Kaugjuurdepääs : mõned troojalased on loodud ründajale volitamata kaugjuurdepääsu võimaldamiseks. Kui troojalane on kasutusele võetud, omandab ründaja kontrolli nakatunud süsteemi üle, võimaldades neil failidega manipuleerida, täiendavat pahavara installida või isegi kasutada rikutud seadet suuremahulistes rünnakutes.
- Botivõrgu moodustumine : troojalased võivad aidata kaasa robotivõrkude loomisele. Botivõrgud on võltsitud arvutite võrgud, mida juhib üks üksus. Neid botnette saab kasutada mitmesuguste ohtlike tegevuste jaoks, nagu DDoS-rünnakute käivitamine, rämpsposti levitamine või muudes koordineeritud küberohtudes osalemine.
- Süsteemi kahjustused : troojalased võivad olla programmeeritud tekitama otsest kahju kasutaja süsteemile, kustutades faile, muutes sätteid või muutes süsteemi töövõimetuks. See võib põhjustada märkimisväärset andmekadu ja häirida tavalisi andmetöötlustoiminguid.
- Puhverserveri teenused : teatud troojalased toimivad puhverserveritena, võimaldades ründajatel suunata oma Interneti-liiklust läbi nakatunud süsteemi. Seda saab ära kasutada pahatahtlike tegevuste läbiviimiseks, varjates samal ajal rünnakute tõelist allikat, muutes asutuste jaoks keeruliseks päritolu jälitamise.
- Muu pahavara levik : troojalased on sageli muud tüüpi pahavara edastamise vahendid. Süsteemi sisenedes saavad nad alla laadida ja installida täiendavat ründetarkvara, mis suurendab kasutaja ees seisvaid ohte.
Trooja pahavaraga seotud riskide maandamiseks soovitatakse kasutajatel rakendada tugevaid küberturvalisuse tavasid, sealhulgas maineka pahavaratõrjetarkvara kasutamist, korrapäraseid süsteemivärskendusi ja olla ettevaatlik failide allalaadimisel või linkidel klõpsamisel, eriti ebausaldusväärsetest allikatest.
