Троян-прокси-вредоносное ПО
Мошеннические веб-сайты, являющиеся платформами для пиратского программного обеспечения, были идентифицированы как основной источник троянских приложений, которые заражают пользователей macOS новым вредоносным ПО Trojan-Proxy. Это вредоносное ПО позволяет злоумышленникам получать доход, создавая сеть прокси-серверов или участвуя в незаконной деятельности от имени жертвы. Такая деятельность может включать в себя атаки на веб-сайты, компании и частных лиц, а также покупку огнестрельного оружия, наркотиков и других незаконных предметов.
Эксперты в области кибербезопасности обнаружили доказательства того, что это вредоносное ПО представляет собой межплатформенную угрозу. Об этом свидетельствуют артефакты, обнаруженные как для систем Windows, так и для Android, которые были связаны с пиратскими инструментами.
Оглавление
Вредоносная программа-троян-прокси способна заражать устройства MacOS
Варианты кампании для macOS распространяются под видом законных инструментов мультимедиа, редактирования изображений, восстановления данных и повышения производительности. Это указывает на то, что объектом атаки становятся лица, ищущие пиратское программное обеспечение. В отличие от своих подлинных аналогов, которые распространяются в виде файлов образа диска (.DMG), поддельные версии поставляются в виде установочных файлов .PKG. Эти установщики включают в себя сценарий после установки, который запускает вредоносные действия после процесса установки. Поскольку установщики обычно запрашивают права администратора, выполняемый сценарий наследует эти разрешения.
Конечная цель кампании — запустить троян-прокси, который маскируется под процесс WindowServer в macOS, чтобы избежать обнаружения. WindowServer служит фундаментальным системным процессом, отвечающим за управление Windows и отображение графического пользовательского интерфейса (GUI) приложений.
Троян-прокси скрытно ждет инструкций от злоумышленников
При запуске на взломанном устройстве вредоносная программа пытается получить IP-адрес сервера управления (C2) для подключения через DNS-over-HTTPS (DoH). Это достигается за счет шифрования DNS-запросов и ответов с использованием протокола HTTPS.
После этого троян-прокси устанавливает связь с сервером С2, ожидая дальнейших инструкций. Он обрабатывает входящие сообщения для извлечения такой информации, как IP-адрес для подключения, используемый протокол и сообщение для передачи. Это означает его способность функционировать в качестве прокси через TCP или UDP, перенаправляя трафик через зараженный хост.
По информации, предоставленной исследователями, вредоносное ПО Trojan-Proxy можно отследить уже 28 апреля 2023 года. Чтобы противостоять таким угрозам, пользователям настоятельно рекомендуется стараться не загружать программное обеспечение из ненадежных источников.
Троянские угрозы могут быть запрограммированы на выполнение широкого спектра небезопасных действий
Вредоносные программы-трояны представляют собой разнообразный набор рисков для пользователей из-за своей обманчивой и многогранной природы. Пользователям настоятельно рекомендуется внедрить комплексный подход к обеспечению безопасности на своих устройствах, иначе они рискуют пострадать от серьезных последствий в случае заражения троянами:
- Скрытые полезные нагрузки : трояны маскируются под законное программное обеспечение или файлы, обманом заставляя пользователей невольно установить вредоносный код. Скрытые полезные данные могут включать в себя программы-вымогатели, шпионские программы, кейлоггеры и другие типы деструктивного программного обеспечения.
- Кража данных . Трояны часто стремятся собрать определенную информацию, включая учетные данные для входа, финансовые данные или личные данные. Эта собранная информация может быть использована для различных небезопасных целей, включая кражу личных данных, финансовое мошенничество или несанкционированный доступ к конфиденциальным учетным записям.
- Удаленный доступ . Некоторые трояны предназначены для предоставления злоумышленнику несанкционированного удаленного доступа. После развертывания трояна злоумышленник получает контроль над зараженной системой, что позволяет ему манипулировать файлами, устанавливать дополнительное вредоносное ПО или даже использовать взломанное устройство в более масштабных атаках.
- Формирование ботнетов . Трояны могут способствовать созданию ботнетов. Ботнеты — это сети взломанных компьютеров, контролируемых одним лицом. Эти ботнеты могут использоваться для различных небезопасных действий, таких как запуск распределенных атак типа «отказ в обслуживании» (DDoS), распространение спама или участие в других скоординированных киберугрозах.
- Повреждение системы : трояны могут быть запрограммированы на причинение прямого вреда системе пользователя путем удаления файлов, изменения настроек или вывода системы из строя. Это может привести к значительной потере данных и нарушить нормальную вычислительную деятельность.
- Прокси-службы . Некоторые трояны действуют как прокси-серверы, позволяя злоумышленникам направлять свой интернет-трафик через зараженную систему. Это может быть использовано для проведения вредоносных действий, при этом скрывая истинный источник атак, что затрудняет отслеживание источника властями.
- Распространение других вредоносных программ . Трояны часто служат средством доставки других типов вредоносных программ. Попав внутрь системы, они могут загрузить и установить дополнительное вредоносное программное обеспечение, усугубляя угрозы, с которыми сталкивается пользователь.
Чтобы снизить риски, связанные с вредоносными программами-троянами, пользователям рекомендуется применять надежные методы кибербезопасности, включая использование надежного антивирусного программного обеспечения, регулярные обновления системы и проявлять осторожность при загрузке файлов или переходе по ссылкам, особенно из ненадежных источников.
