Trojos arklio tarpinio serverio kenkėjiška programa
Nustatyta, kad nesąžiningos svetainės, veikiančios kaip piratinės programinės įrangos platformos, yra pagrindinis trojaniškų programų, kurios užkrečia „macOS“ vartotojus nauja kenkėjiška programa „Trojan-Proxy“, šaltinis. Ši kenkėjiška programa leidžia užpuolikams uždirbti pajamų sukuriant tarpinių serverių tinklą arba užsiimant neteisėta veikla aukos vardu. Tokia veikla gali apimti atakas prieš svetaines, įmones ir asmenis, taip pat šaunamųjų ginklų, narkotikų ir kitų nelegalių daiktų pirkimą.
Kibernetinio saugumo ekspertai atskleidė įrodymų, kad ši kenkėjiška programa kelia grėsmę kelioms platformoms. Tai pagrindžia artefaktai, aptikti tiek Windows, tiek Android sistemoms, kurie buvo susiję su piratiniais įrankiais.
Turinys
„Trojan-Proxy“ kenkėjiška programa gali užkrėsti „macOS“ įrenginius
Kampanijos „macOS“ variantai plinta apsimetę teisėtais daugialypės terpės, vaizdo redagavimo, duomenų atkūrimo ir produktyvumo įrankiais. Tai rodo, kad piratinės programinės įrangos ieškantys asmenys tampa atakos židiniu. Skirtingai nuo autentiškų analogų, kurie platinami kaip disko vaizdo (.DMG) failai, padirbtos versijos pateikiamos kaip .PKG diegimo programos. Šios diegimo programos apima scenarijų po įdiegimo, kuris suaktyvina kenkėjišką veiklą po diegimo proceso. Kadangi montuotojai paprastai prašo administratoriaus leidimų, vykdomas scenarijus paveldi šiuos leidimus.
Galutinis kampanijos tikslas yra išlaisvinti Trojos arklių tarpinį serverį, kuris užmaskuoja save kaip „Windows“ serverio procesas „MacOS“, kad išvengtų aptikimo. „WindowServer“ yra pagrindinis sistemos procesas, atsakingas už „Windows“ valdymą ir programų grafinės vartotojo sąsajos (GUI) pateikimą.
Trojos arklys tarpinis serveris slapta laukia užpuolikų nurodymų
Vykdant pažeistame įrenginyje, kenkėjiška programa stengiasi gauti komandų ir valdymo (C2) serverio IP adresą, kad būtų galima prisijungti per DNS-over-HTTPS (DoH). Tai pasiekiama šifruojant DNS užklausas ir atsakymus naudojant HTTPS protokolą.
Vėliau Trojos arklys tarpinis serveris užmezga ryšį su C2 serveriu ir laukia tolesnių nurodymų. Jis apdoroja gaunamus pranešimus, kad gautų informaciją, pvz., IP adresą, prie kurio reikia prisijungti, protokolą, kurį reikia naudoti, ir pranešimą, kurį reikia perduoti. Tai reiškia, kad jis gali veikti kaip tarpinis serveris per TCP arba UDP, nukreipiant srautą per užkrėstą pagrindinį kompiuterį.
Remiantis tyrėjų pateikta informacija, Trojan-Proxy kenkėjiška programa gali būti atsekta jau 2023 m. balandžio 28 d. Siekiant kovoti su tokiomis grėsmėmis, vartotojams primygtinai patariama nesiųsti programinės įrangos iš nepatikimų šaltinių.
Trojos arklys gali būti užprogramuotas atlikti daugybę nesaugių veiksmų
Trojos arklys kelia įvairių pavojų vartotojams dėl savo apgaulingo ir daugialypio pobūdžio. Naudotojams primygtinai rekomenduojama įdiegti visapusišką saugos metodą savo įrenginiuose arba rizikuoti patirti didelių pasekmių Trojos arklys užsikrėtus:
- Paslėpti naudingi kroviniai : Trojos arklys prisidengia teisėta programine įranga ar failais, klaidindami vartotojus netyčia įdiegti kenkėjišką kodą. Paslėptuose naudinguosiuose kroviniuose gali būti išpirkos reikalaujančios programos, šnipinėjimo programos, klavišų kaupikliai arba kitos naikinančios programinės įrangos rūšys.
- Duomenų vagystė : Trojos arklys dažnai siekia rinkti tam tikrą informaciją, įskaitant prisijungimo duomenis, finansinius duomenis arba asmeninę informaciją. Šią surinktą informaciją galima panaudoti įvairiems nesaugiems tikslams, įskaitant tapatybės vagystę, finansinį sukčiavimą arba neteisėtą prieigą prie neskelbtinų paskyrų.
- Nuotolinė prieiga : kai kurie Trojos arklys skirti užpuolikui suteikti neteisėtą nuotolinę prieigą. Kai Trojos arklys yra įdiegtas, užpuolikas įgyja užkrėstos sistemos kontrolę, leidžiančią manipuliuoti failais, įdiegti papildomą kenkėjišką programą ar net naudoti pažeistą įrenginį didesnio masto atakoms.
- Botneto formavimas : Trojos arklys gali prisidėti prie botnetų kūrimo. Botnetai yra sugadintų kompiuterių tinklai, valdomi vieno subjekto. Šie botnetai gali būti naudojami įvairiai nesaugiai veiklai, pvz., DDoS (Distributed Denial-of-Service) atakoms vykdyti, brukalų platinimui ar dalyvavimui kitose koordinuotose kibernetinėse grėsmėse.
- Sistemos pažeidimas : Trojos arklys gali būti užprogramuotas taip, kad ištrintų failus, keistų nustatymus arba sistema taptų neveikiančia, kad padarytų tiesioginę žalą vartotojo sistemai. Tai gali sukelti didelį duomenų praradimą ir sutrikdyti įprastą skaičiavimo veiklą.
- Tarpinio serverio paslaugos : kai kurie Trojos arklys veikia kaip tarpiniai serveriai, leidžiantys užpuolikams nukreipti savo interneto srautą per užkrėstą sistemą. Tai gali būti išnaudota siekiant vykdyti kenkėjišką veiklą, slepiant tikrąjį atakų šaltinį, todėl valdžios institucijoms bus sudėtinga atsekti kilmę.
- Kitų kenkėjiškų programų platinimas : Trojos arklys dažnai naudojamas kaip transporto priemonės, skirtos kitų tipų kenkėjiškoms programoms pristatyti. Patekę į sistemą, jie gali atsisiųsti ir įdiegti papildomą kenkėjišką programinę įrangą, kuri padidina grėsmes, su kuriomis susiduria vartotojas.
Siekiant sumažinti riziką, susijusią su Trojos kenkėjiška programine įranga, vartotojams patariama taikyti patikimą kibernetinio saugumo praktiką, įskaitant patikimos apsaugos nuo kenkėjiškų programų programinę įrangą, reguliarius sistemos atnaujinimus ir būti atsargiems atsisiunčiant failus arba spustelėdami nuorodas, ypač iš nepatikimų šaltinių.
