트로이 목마 프록시 악성코드

불법 복제 소프트웨어의 플랫폼으로 운영되는 악성 웹 사이트는 macOS 사용자를 새로운 트로이 목마 프록시 악성 코드로 감염시키는 트로이 목마 앱의 주요 소스로 확인되었습니다. 이 악성 코드를 통해 공격자는 프록시 서버 네트워크를 구축하거나 피해자를 대신하여 불법 활동에 참여하여 수익을 창출할 수 있습니다. 이러한 활동에는 웹사이트, 회사, 개인에 대한 공격 시작, 총기, 마약, 기타 불법 품목 구매가 포함될 수 있습니다.

사이버 보안 전문가들은 이 악성 코드가 플랫폼 간 위협을 야기한다는 증거를 발견했습니다. 이는 불법 복제 도구와 관련된 Windows 및 Android 시스템 모두에서 발견된 아티팩트에 의해 입증됩니다.

트로이 목마 프록시 악성코드는 macOS 장치를 감염시킬 수 있습니다

이 캠페인의 macOS 변종은 합법적인 멀티미디어, 이미지 편집, 데이터 복구 및 생산성 도구로 가장하여 확산되었습니다. 이는 불법 복제 소프트웨어를 찾는 개인이 공격의 중심이 된다는 것을 나타냅니다. 디스크 이미지(.DMG) 파일로 배포되는 정품 버전과 달리 위조 버전은 .PKG 설치 프로그램으로 제공됩니다. 이러한 설치 프로그램에는 설치 프로세스 후에 악성 활동을 유발하는 설치 후 스크립트가 포함되어 있습니다. 설치 프로그램은 일반적으로 관리자 권한을 요청하므로 실행된 스크립트는 이러한 권한을 상속합니다.

이 캠페인의 궁극적인 목표는 탐지를 피하기 위해 macOS에서 WindowServer 프로세스로 위장하는 Trojan-Proxy를 실행하는 것입니다. WindowServer는 Windows를 관리하고 애플리케이션의 그래픽 사용자 인터페이스(GUI)를 렌더링하는 기본 시스템 프로세스 역할을 합니다.

트로이 목마 프록시는 공격자의 지시를 은밀하게 기다립니다.

손상된 장치에서 악성코드가 실행되면 DoH(DNS-over-HTTPS)를 통해 연결하기 위해 명령 및 제어(C2) 서버의 IP 주소를 획득하려고 시도합니다. 이는 HTTPS 프로토콜을 사용하여 DNS 요청과 응답을 암호화함으로써 달성됩니다.

이후 트로이 목마 프록시는 C2 서버와 통신을 설정하고 추가 지시를 기다립니다. 들어오는 메시지를 처리하여 연결할 IP 주소, 사용할 프로토콜, 전송할 메시지 등의 정보를 추출합니다. 이는 TCP 또는 UDP를 통해 프록시로 작동하여 감염된 호스트를 통해 트래픽을 리디렉션하는 기능을 의미합니다.

연구원들이 제공한 정보에 따르면 Trojan-Proxy 악성 코드는 빠르면 2023년 4월 28일까지 추적될 수 있습니다. 이러한 위협에 대응하려면 사용자는 신뢰할 수 없는 소스에서 소프트웨어를 다운로드하지 않는 것이 좋습니다.

트로이 목마 위협은 광범위한 안전하지 않은 작업을 실행하도록 프로그래밍될 수 있습니다.

트로이 목마 악성 코드는 기만적이고 다면적인 특성으로 인해 사용자에게 다양한 위험을 초래합니다. 사용자는 자신의 장치에 포괄적인 보안 접근 방식을 구현하는 것이 좋습니다. 그렇지 않으면 트로이 목마 감염 시 심각한 결과를 겪을 위험이 있습니다.

• 숨겨진 페이로드 : 트로이 목마는 자신을 합법적인 소프트웨어나 파일로 위장하여 사용자가 자신도 모르게 악성 코드를 설치하도록 속입니다. 숨겨진 페이로드에는 랜섬웨어, 스파이웨어, 키로거 또는 기타 유형의 파괴적인 소프트웨어가 포함될 수 있습니다.
• 데이터 도난 : 트로이 목마는 로그인 자격 증명, 금융 데이터, 개인 정보 등 특정 정보를 수집하는 것을 목표로 하는 경우가 많습니다. 이렇게 수집된 정보는 신원 도용, 금융 사기 또는 민감한 계정에 대한 무단 액세스를 포함하여 안전하지 않은 다양한 목적으로 악용될 수 있습니다.
• 원격 액세스 : 일부 트로이 목마는 공격자에게 무단 원격 액세스를 허용하도록 설계되었습니다. 트로이 목마가 배포되면 공격자는 감염된 시스템에 대한 제어권을 획득하여 파일을 조작하고, 추가 악성 코드를 설치하거나, 손상된 장치를 대규모 공격에 사용할 수도 있습니다.
• 봇넷 형성 : 트로이 목마는 봇넷 생성에 기여할 수 있습니다. 봇넷은 단일 개체에 의해 제어되는 변조된 컴퓨터의 네트워크입니다. 이러한 봇넷은 DDoS(분산 서비스 거부) 공격 실행, 스팸 확산, 기타 조직화된 사이버 위협 참여 등 안전하지 않은 다양한 활동에 사용될 수 있습니다.
• 시스템 손상 : 트로이 목마는 파일을 삭제하거나, 설정을 수정하거나, 시스템을 작동 불가능하게 만들어 사용자 시스템에 직접적인 피해를 입히도록 프로그래밍될 수 있습니다. 이로 인해 상당한 데이터 손실이 발생하고 정상적인 컴퓨팅 활동이 중단될 수 있습니다.
• 프록시 서비스 : 특정 트로이 목마는 프록시 서버로 작동하여 공격자가 감염된 시스템을 통해 인터넷 트래픽을 라우팅할 수 있도록 합니다. 이는 공격의 실제 출처를 숨기면서 악의적인 활동을 수행하는 데 악용될 수 있어 당국이 출처를 추적하기 어렵게 만듭니다.
• 기타 악성 프로그램의 전파 : 트로이 목마는 종종 다른 유형의 악성 코드를 전달하는 수단 역할을 합니다. 시스템 내부로 들어가면 추가 악성 소프트웨어를 다운로드하고 설치할 수 있어 사용자가 직면하는 위협이 더욱 가중됩니다.

트로이 목마 맬웨어와 관련된 위험을 완화하려면 사용자는 평판이 좋은 맬웨어 방지 소프트웨어 사용, 정기적인 시스템 업데이트, 특히 신뢰할 수 없는 소스에서 파일을 다운로드하거나 링크를 클릭할 때 주의를 기울이는 등 강력한 사이버 보안 관행을 채택하는 것이 좋습니다.