Trojan-Proxy Malware

A kalózszoftverek platformjaként működő szélhámos webhelyeket azonosították a trójai alkalmazások elsődleges forrásaként, amelyek egy új trójai proxy kártevővel fertőzik meg a macOS felhasználókat. Ez a rosszindulatú program lehetővé teszi a támadók számára, hogy bevételt szerezzenek proxyszerver-hálózat létrehozásával vagy az áldozat nevében tiltott tevékenységekkel. Ilyen tevékenységek lehetnek webhelyek, cégek és magánszemélyek elleni támadások, valamint lőfegyverek, kábítószerek és egyéb illegális cikkek vásárlása.

A kiberbiztonsággal foglalkozó szakértők olyan bizonyítékokat tártak fel, amelyek arra utalnak, hogy ez a rosszindulatú program platformok közötti fenyegetést jelent. Ezt támasztják alá mind a Windows, mind az Android rendszereknél felfedezett műtermékek, amelyeket kalózeszközökhöz társítottak.

A trójai proxy malware képes megfertőzni a macOS-eszközöket

A kampány macOS-változatai úgy terjedtek el, hogy legitim multimédiás, képszerkesztő, adat-helyreállítási és termelékenységi eszközöknek álcázták magukat. Ez azt jelzi, hogy a kalózszoftvert kereső egyének válnak a támadás fókuszpontjává. Ellentétben hiteles társaikkal, amelyeket lemezkép (.DMG) fájlként terjesztenek, a hamisított verziókat .PKG telepítőként szállítják. Ezek a telepítők tartalmaznak egy telepítés utáni szkriptet, amely a telepítési folyamat után rosszindulatú tevékenységeket indít el. Mivel a telepítők általában rendszergazdai engedélyeket kérnek, a végrehajtott szkript örökli ezeket az engedélyeket.

A kampány végső célja a trójai proxy felszabadítása, amely a macOS-en WindowServer folyamatnak álcázza magát, hogy elkerülje az észlelést. A WindowServer alapvető rendszerfolyamatként szolgál a Windows kezeléséért és az alkalmazások grafikus felhasználói felületének (GUI) megjelenítéséért.

A trójai proxy lopva várja a támadók utasításait

A feltört eszközön történő végrehajtáskor a rosszindulatú program megpróbálja megszerezni a Command-and-Control (C2) szerver IP-címét a DNS-over-HTTPS (DoH) kapcsolathoz. Ezt a DNS-kérések és válaszok HTTPS-protokoll használatával történő titkosításával érik el.

Ezt követően a trójai proxy kommunikációt létesít a C2 szerverrel, várva a további utasításokat. Feldolgozza a bejövő üzeneteket, hogy olyan információkat nyerjen ki, mint például a csatlakozáshoz szükséges IP-cím, az alkalmazandó protokoll és a továbbítandó üzenet. Ez azt jelenti, hogy képes proxyként működni TCP-n vagy UDP-n keresztül, átirányítva a forgalmat a fertőzött gazdagépen.

A kutatók információi szerint a Trojan-Proxy kártevő már 2023. április 28-ig visszavezethető. Az ilyen fenyegetések leküzdése érdekében a felhasználóknak erősen ajánlott, hogy ne töltsenek le szoftvereket nem megbízható forrásokból.

A trójai fenyegetéseket a nem biztonságos műveletek széles körének végrehajtására lehet programozni

A trójai rosszindulatú programok megtévesztő és sokrétű természete miatt sokféle kockázatot jelentenek a felhasználók számára. A felhasználóknak erősen javasoljuk, hogy átfogó biztonsági megközelítést alkalmazzanak eszközeiken, különben jelentős következményekkel járhatnak trójai fertőzés esetén:

• Rejtett hasznos terhek : A trójaiak legitim szoftvernek vagy fájlnak álcázzák magukat, és ráveszik a felhasználókat, hogy akaratlanul is rosszindulatú kódot telepítsenek. A rejtett rakományok közé tartozhatnak zsarolóprogramok, kémprogramok, billentyűnaplózók vagy más típusú pusztító szoftverek.
• Adatlopás : A trójaiak gyakran bizonyos információkat gyűjtenek, beleértve a bejelentkezési adatokat, pénzügyi adatokat vagy személyes adatokat. Ezeket az összegyűjtött információkat különféle nem biztonságos célokra lehet felhasználni, beleértve a személyazonosság-lopást, a pénzügyi csalást vagy az érzékeny fiókokhoz való jogosulatlan hozzáférést.
• Távoli hozzáférés : Egyes trójai programokat úgy terveztek, hogy jogosulatlan távoli hozzáférést biztosítsanak a támadóknak. A trójai telepítése után a támadó átveszi az irányítást a fertőzött rendszer felett, lehetővé téve számára, hogy fájlokat manipuláljon, további kártevőket telepítsen, vagy akár nagyobb léptékű támadásokhoz is felhasználja a feltört eszközt.
• Botnet kialakítása : A trójaiak hozzájárulhatnak botnetek létrehozásához. A botnetek manipulált számítógépek hálózatai, amelyeket egyetlen entitás irányít. Ezek a botnetek különféle nem biztonságos tevékenységekre használhatók, mint például elosztott szolgáltatásmegtagadási (DDoS) támadások indítására, kéretlen levelek terjesztésére vagy egyéb összehangolt kiberfenyegetésekben való részvételre.
• Rendszerkárosodás : A trójai programokat úgy lehet beprogramozni, hogy fájlok törlésével, beállítások módosításával vagy a rendszer működésképtelenné tételével közvetlen kárt okozzanak a felhasználó rendszerében. Ez jelentős adatvesztést eredményezhet, és megzavarhatja a normál számítási tevékenységeket.
• Proxyszolgáltatások : Bizonyos trójaiak proxyszerverként működnek, lehetővé téve a támadók számára, hogy internetes forgalmukat a fertőzött rendszeren keresztül irányítsák. Ez kihasználható rosszindulatú tevékenységek végrehajtására, miközben elrejti a támadások valódi forrását, ami kihívást jelent a hatóságok számára az eredet felkutatásában.
• Egyéb rosszindulatú programok elterjedése : A trójaiak gyakran más típusú rosszindulatú programok szállításának eszközeiként szolgálnak. A rendszerbe kerülve további rosszindulatú szoftvereket tölthetnek le és telepíthetnek, fokozva a felhasználó fenyegetéseit.

A trójai kártevőkkel kapcsolatos kockázatok mérséklése érdekében a felhasználóknak erős kiberbiztonsági gyakorlatokat javasolnak, beleértve a jó hírű kártevő-elhárító szoftverek használatát, a rendszeres rendszerfrissítéseket, valamint a fájlok letöltése vagy hivatkozásokra való kattintás során, különösen nem megbízható forrásból.