Троянски прокси зловреден софтуер
Измамни уебсайтове, работещи като платформи за пиратски софтуер, са идентифицирани като основен източник на троянизирани приложения, които заразяват потребителите на macOS с нов зловреден софтуер Trojan-Proxy. Този зловреден софтуер позволява на нападателите да генерират приходи чрез създаване на мрежа от прокси сървъри или участие в незаконни дейности от името на жертвата. Такива дейности могат да включват стартиране на атаки срещу уебсайтове, компании и лица, както и закупуване на огнестрелни оръжия, наркотици и други незаконни предмети.
Експерти по киберсигурност са открили доказателства, които предполагат, че този зловреден софтуер представлява заплаха за различни платформи. Това се потвърждава от артефакти, открити за Windows и Android системи, които са свързани с пиратски инструменти.
Съдържание
Троянският прокси злонамерен софтуер е в състояние да зарази устройства с macOS
Вариантите на macOS на кампанията се разпространяват, маскирайки се като легитимни инструменти за мултимедия, редактиране на изображения, възстановяване на данни и производителност. Това показва, че хората, търсещи пиратски софтуер, се превръщат във фокусна точка на атаката. За разлика от техните автентични двойници, които се разпространяват като файлове с изображения на дискове (.DMG), фалшивите версии се доставят като .PKG инсталационни програми. Тези инсталатори включват скрипт след инсталиране, който задейства злонамерени дейности след инсталационния процес. Тъй като инсталаторите обикновено изискват администраторски разрешения, изпълненият скрипт наследява тези разрешения.
Крайната цел на кампанията е да отприщи троянския прокси, който се маскира като процес WindowServer на macOS, за да избегне откриването. WindowServer служи като основен системен процес, отговорен за управлението на Windows и изобразяването на графичния потребителски интерфейс (GUI) на приложенията.
Trojan-Proxy чака тайно инструкции от нападателите
При изпълнение на компрометираното устройство злонамереният софтуер се опитва да придобие IP адреса на сървъра за командване и управление (C2) за връзка чрез DNS-over-HTTPS (DoH). Това се постига чрез криптиране на DNS заявки и отговори с помощта на HTTPS протокола.
Впоследствие троянският прокси установява комуникация със сървъра C2, очаквайки допълнителни инструкции. Той обработва входящите съобщения, за да извлече информация като IP адреса, към който да се свържете, протокола, който да използвате, и съобщението, което да предадете. Това означава неговата способност да функционира като прокси чрез TCP или UDP, пренасочвайки трафика през заразения хост.
Според информацията, предоставена от изследователите, злонамереният софтуер Trojan-Proxy може да бъде проследен до 28 април 2023 г. За да се противопоставят на подобни заплахи, настоятелно се препоръчва на потребителите да не изтеглят софтуер от ненадеждни източници.
Троянските заплахи могат да бъдат програмирани да изпълняват широк набор от опасни действия
Троянският злонамерен софтуер създава разнообразен набор от рискове за потребителите поради своята измамна и многостранна природа. Силно се препоръчва на потребителите да прилагат цялостен подход за сигурност на своите устройства или рискуват да претърпят значителни последствия в случай на заразяване с троянски кон:
- Скрити полезни товари : Троянските коне се маскират като легитимен софтуер или файлове, подмамвайки потребителите да инсталират несъзнателно зловреден код. Скритите полезни товари може да включват рансъмуер, шпионски софтуер, кийлогъри или други видове разрушителен софтуер.
- Кражба на данни : Троянските коне често имат за цел да събират определена информация, включително идентификационни данни за вход, финансови данни или лични данни. Тази събрана информация може да бъде използвана за различни опасни цели, включително кражба на самоличност, финансови измами или неоторизиран достъп до чувствителни акаунти.
- Отдалечен достъп : Някои троянски коне са предназначени да предоставят неоторизиран отдалечен достъп на нападател. След като троянският кон е внедрен, атакуващият получава контрол над заразената система, което му позволява да манипулира файлове, да инсталира допълнителен зловреден софтуер или дори да използва компрометираното устройство в по-мащабни атаки.
- Формиране на ботнет : Троянските коне могат да допринесат за създаването на ботнет мрежи. Ботнет мрежите са мрежи от манипулирани компютри, контролирани от едно цяло. Тези ботнети могат да се използват за различни опасни дейности, като стартиране на разпределени атаки за отказ на услуга (DDoS), разпространение на спам или участие в други координирани киберзаплахи.
- Системни щети : Троянските коне могат да бъдат програмирани да причиняват директна вреда на системата на потребителя чрез изтриване на файлове, промяна на настройките или правене на системата неработеща. Това може да доведе до значителна загуба на данни и да наруши нормалните компютърни дейности.
- Прокси услуги : Определени троянски коне функционират като прокси сървъри, позволявайки на нападателите да насочват своя интернет трафик през заразената система. Това може да се използва за извършване на злонамерени дейности, като същевременно се скрие истинският източник на атаките, което прави предизвикателство за властите да проследят произхода.
- Разпространение на друг зловреден софтуер : Троянските коне често служат като средства за доставяне на други видове зловреден софтуер. След като влязат в системата, те могат да изтеглят и инсталират допълнителен зловреден софтуер, усложнявайки заплахите, пред които е изправен потребителят.
За да намалят рисковете, свързани с троянския злонамерен софтуер, потребителите се съветват да използват стабилни практики за киберсигурност, включително използването на реномиран анти-злонамерен софтуер, редовни системни актуализации и внимаване при изтегляне на файлове или кликване върху връзки, особено от ненадеждни източници.
