Trojan-Proxy Malware

Falske nettsteder som opererer som plattformer for piratkopiert programvare har blitt identifisert som den primære kilden til trojaniserte apper som infiserer macOS-brukere med en ny Trojan-Proxy malware. Denne skadelige programvaren gjør det mulig for angripere å generere inntekter ved å etablere et nettverk av proxy-servere eller delta i ulovlige aktiviteter på vegne av offeret. Slike aktiviteter kan omfatte angrep på nettsteder, selskaper og enkeltpersoner, samt kjøp av skytevåpen, narkotika og andre ulovlige gjenstander.

Eksperter innen cybersikkerhet har avdekket bevis som tyder på at denne skadelige programvaren utgjør en trussel på tvers av plattformer. Dette er underbygget av artefakter oppdaget for både Windows- og Android-systemer, som var assosiert med piratkopierte verktøy.

Trojan-Proxy Malware er i stand til å infisere macOS-enheter

MacOS-variantene av kampanjen spredte seg ved å forkle seg som legitime multimedia-, bilderedigerings-, datagjenopprettings- og produktivitetsverktøy. Dette indikerer at enkeltpersoner som søker piratkopiert programvare blir fokuspunktet for angrepet. I motsetning til deres autentiske motparter, som distribueres som diskbildefiler (.DMG), leveres de forfalskede versjonene som .PKG-installatører. Disse installasjonsprogrammene inkluderer et etterinstallasjonsskript som utløser ondsinnede aktiviteter etter installasjonsprosessen. Siden installatører vanligvis ber om administratortillatelser, arver skriptet som kjøres disse tillatelsene.

Det endelige målet med kampanjen er å slippe løs Trojan-Proxyen, som forkledd seg som WindowServer-prosessen på macOS for å unngå gjenkjenning. WindowServer fungerer som en grunnleggende systemprosess som er ansvarlig for å administrere Windows og gjengi det grafiske brukergrensesnittet (GUI) til applikasjoner.

Trojan-proxy venter snikende på instruksjoner fra angriperne

Ved kjøring på den kompromitterte enheten forsøker skadevaren å skaffe IP-adressen til Command-and-Control-serveren (C2) for tilkobling gjennom DNS-over-HTTPS (DoH). Dette oppnås ved å kryptere DNS-forespørsler og svar ved hjelp av HTTPS-protokollen.

Deretter etablerer Trojan-Proxy kommunikasjon med C2-serveren, i påvente av ytterligere instruksjoner. Den behandler innkommende meldinger for å trekke ut informasjon som IP-adressen som skal kobles til, protokollen som skal brukes og meldingen som skal overføres. Dette betyr dens evne til å fungere som en proxy gjennom TCP eller UDP, og omdirigere trafikk gjennom den infiserte verten.

I henhold til informasjonen forskerne har gitt, kan Trojan-Proxy malware spores tilbake til så tidlig som 28. april 2023. For å motvirke slike trusler anbefales brukere på det sterkeste å prøve å ikke laste ned programvare fra upålitelige kilder.

Trojanske trusler kan programmeres til å utføre en lang rekke usikre handlinger

Trojansk skadelig programvare utgjør et mangfoldig sett med risikoer for brukere på grunn av dens villedende og mangefasetterte natur. Brukere anbefales sterkt å implementere en omfattende sikkerhetstilnærming på enhetene sine eller risikere å lide betydelige konsekvenser i tilfelle en trojansk infeksjon:

• Skjult nyttelast : Trojanere forkle seg som legitim programvare eller filer, og lurer brukere til uforvarende å installere ondsinnet kode. De skjulte nyttelastene kan inkludere løsepengeprogramvare, spyware, keyloggere eller andre typer destruktiv programvare.
• Datatyveri : Trojanere har ofte som mål å samle inn bestemt informasjon, inkludert påloggingsinformasjon, økonomiske data eller personlige detaljer. Denne innsamlede informasjonen kan utnyttes til ulike utrygge formål, inkludert identitetstyveri, økonomisk svindel eller uautorisert tilgang til sensitive kontoer.
• Fjerntilgang : Noen trojanere er utformet for å gi uautorisert ekstern tilgang til en angriper. Når trojaneren er utplassert, får angriperen kontroll over det infiserte systemet, slik at de kan manipulere filer, installere ytterligere skadelig programvare eller til og med bruke den kompromitterte enheten i større angrep.
• Botnettformasjon : Trojanere kan bidra til å lage botnett. Botnett er nettverk av manipulerte datamaskiner kontrollert av en enkelt enhet. Disse botnettene kan brukes til ulike utrygge aktiviteter, som å starte DDoS-angrep (Distributed Denial-of-Service), spredning av spam eller delta i andre koordinerte cybertrusler.
• Systemskade : Trojanere kan være programmert til å forårsake direkte skade på en brukers system ved å slette filer, endre innstillinger eller gjøre systemet ubrukelig. Dette kan føre til betydelig tap av data og forstyrre normale dataaktiviteter.
• Proxy-tjenester : Enkelte trojanere fungerer som proxy-servere, og lar angripere rute Internett-trafikken gjennom det infiserte systemet. Dette kan utnyttes til å utføre ondsinnede aktiviteter samtidig som den sanne kilden til angrepene skjules, noe som gjør det utfordrende for myndighetene å spore opprinnelsen.
• Utbredelse av annen skadelig programvare : Trojanere fungerer ofte som kjøretøy for å levere andre typer skadelig programvare. Når de er inne i et system, kan de laste ned og installere ytterligere skadelig programvare, noe som forsterker truslene brukeren står overfor.

For å redusere risikoen forbundet med trojansk skadelig programvare, anbefales brukere å bruke robuste nettsikkerhetspraksiser, inkludert bruk av anerkjent anti-malware-programvare, regelmessige systemoppdateringer og utvise forsiktighet når de laster ned filer eller klikker på lenker, spesielt fra upålitelige kilder.