Programari maliciós proxy troià

Els llocs web delictius que operen com a plataformes per a programari piratejat s'han identificat com la font principal d'aplicacions troianitzades que infecten els usuaris de macOS amb un nou programari maliciós Trojan-Proxy. Aquest programari maliciós permet als atacants generar ingressos mitjançant l'establiment d'una xarxa de servidors intermediaris o la participació en activitats il·lícites en nom de la víctima. Aquestes activitats poden incloure el llançament d'atacs a llocs web, empreses i persones, així com la compra d'armes de foc, drogues i altres articles il·legals.

Els experts en ciberseguretat han descobert proves que suggereixen que aquest programari maliciós suposa una amenaça multiplataforma. Això està demostrat per artefactes descoberts tant per als sistemes Windows com per a Android, que estaven associats amb eines pirates.

El programari maliciós proxy troià és capaç d'infectar dispositius macOS

Les variants de macOS de la campanya es van difondre fent-se passar per eines legítimes de multimèdia, edició d'imatges, recuperació de dades i productivitat. Això indica que les persones que busquen programari piratejat esdevenen el punt focal de l'atac. A diferència dels seus homòlegs autèntics, que es distribueixen com a fitxers d'imatge de disc (.DMG), les versions falsificades es subministren com a instal·ladors .PKG. Aquests instal·ladors inclouen un script posterior a la instal·lació que desencadena activitats malicioses després del procés d'instal·lació. Com que els instal·ladors solen sol·licitar permisos d'administrador, l'script executat hereta aquests permisos.

L'objectiu final de la campanya és alliberar el Trojan-Proxy, que es disfressa de procés WindowServer a macOS per eludir la detecció. WindowServer serveix com a procés fonamental del sistema responsable de la gestió de Windows i la representació de la interfície gràfica d'usuari (GUI) de les aplicacions.

Trojan-Proxy espera sigil·losament les instruccions dels atacants

Quan s'executa al dispositiu compromès, el programari maliciós intenta adquirir l'adreça IP del servidor Command-and-Control (C2) per a la connexió mitjançant DNS-over-HTTPS (DoH). Això s'aconsegueix xifrant les sol·licituds i respostes DNS mitjançant el protocol HTTPS.

Posteriorment, el Trojan-Proxy estableix la comunicació amb el servidor C2, esperant més instruccions. Processa els missatges entrants per extreure informació com ara l'adreça IP a la qual connectar-se, el protocol a utilitzar i el missatge a transmetre. Això significa la seva capacitat per funcionar com a servidor intermediari mitjançant TCP o UDP, redirigint el trànsit a través de l'amfitrió infectat.

Segons la informació proporcionada pels investigadors, el programari maliciós Trojan-Proxy es pot remuntar fins al 28 d'abril de 2023. Per contrarestar aquestes amenaces, es recomana als usuaris que intentin no descarregar programari de fonts no fiables.

Les amenaces de Troia es podrien programar per executar una àmplia gamma d'accions insegures

El programari maliciós troià comporta un conjunt divers de riscos per als usuaris a causa de la seva naturalesa enganyosa i polièdrica. Es recomana als usuaris que implementin un enfocament de seguretat integral als seus dispositius o s'arrisquen a patir conseqüències importants en cas d'una infecció troia:

• Càrregues útils ocultes : els troians es disfressen de programari o fitxers legítims, enganyant els usuaris perquè instal·lin sense voler codi maliciós. Les càrregues útils ocultes poden incloure ransomware, programari espia, keyloggers o altres tipus de programari destructiu.
• Robatori de dades : els troians solen recollir informació concreta, incloses les credencials d'inici de sessió, les dades financeres o les dades personals. Aquesta informació recollida es pot aprofitar per a diversos propòsits no segurs, com ara robatori d'identitat, frau financer o accés no autoritzat a comptes sensibles.
• Accés remot : alguns troians estan dissenyats per atorgar accés remot no autoritzat a un atacant. Un cop desplegat el troià, l'atacant aconsegueix el control del sistema infectat, cosa que li permet manipular fitxers, instal·lar programari maliciós addicional o fins i tot utilitzar el dispositiu compromès en atacs a gran escala.
• Formació de botnets : els troians poden contribuir a la creació de botnets. Les botnets són xarxes d'ordinadors manipulats controlats per una sola entitat. Aquestes botnets es poden utilitzar per a diverses activitats insegures, com ara llançar atacs de denegació de servei distribuït (DDoS), difondre correu brossa o participar en altres amenaces cibernètiques coordinades.
• Danys al sistema : es poden programar troians per causar danys directes al sistema d'un usuari mitjançant l'eliminació de fitxers, la modificació de la configuració o la inutilització del sistema. Això pot provocar una pèrdua important de dades i interrompre les activitats informàtiques normals.
• Serveis intermediaris : alguns troians funcionen com a servidors intermediaris, la qual cosa permet als atacants dirigir el seu trànsit a Internet a través del sistema infectat. Això es pot aprofitar per dur a terme activitats malicioses mentre s'amaga la veritable font dels atacs, cosa que dificulta per a les autoritats localitzar l'origen.
• Propagació d'altres programes maliciosos : els troians solen servir com a vehicles per lliurar altres tipus de programari maliciós. Un cop dins d'un sistema, poden descarregar i instal·lar programari maliciós addicional, augmentant les amenaces a les quals s'enfronta l'usuari.

Per mitigar els riscos associats amb el programari maliciós de Troia, es recomana als usuaris que utilitzin pràctiques de ciberseguretat sòlides, com ara l'ús de programari anti-malware de bona reputació, actualitzacions periòdiques del sistema i que tinguin precaució quan baixin fitxers o facin clic als enllaços, especialment de fonts no fiables.