Trojan-proxy-malware
Er is vastgesteld dat malafide websites die fungeren als platform voor illegale software de belangrijkste bron zijn van getrojaniseerde apps die macOS-gebruikers infecteren met een nieuwe Trojan-Proxy-malware. Met deze malware kunnen aanvallers inkomsten genereren door een netwerk van proxyservers op te zetten of door namens het slachtoffer illegale activiteiten uit te voeren. Dergelijke activiteiten kunnen het lanceren van aanvallen op websites, bedrijven en individuen omvatten, maar ook het kopen van vuurwapens, drugs en andere illegale voorwerpen.
Experts op het gebied van cyberbeveiliging hebben bewijs gevonden dat erop wijst dat deze malware een platformonafhankelijke dreiging vormt. Dit wordt bevestigd door artefacten die zijn ontdekt voor zowel Windows- als Android-systemen en die verband hielden met illegale tools.
Inhoudsopgave
De Trojan-Proxy-malware kan macOS-apparaten infecteren
De macOS-varianten van de campagne verspreidden zich door zich voor te doen als legitieme tools voor multimedia, beeldbewerking, gegevensherstel en productiviteit. Dit geeft aan dat personen die op zoek zijn naar illegale software het middelpunt van de aanval worden. In tegenstelling tot hun authentieke tegenhangers, die worden verspreid als schijfkopiebestanden (.DMG), worden de vervalste versies geleverd als .PKG-installatieprogramma's. Deze installatieprogramma's bevatten een post-installatiescript dat schadelijke activiteiten activeert na het installatieproces. Omdat installatieprogramma's doorgaans om beheerdersrechten vragen, neemt het uitgevoerde script deze rechten over.
Het uiteindelijke doel van de campagne is het ontketenen van de Trojan-Proxy, die zichzelf vermomt als het WindowServer-proces op macOS om detectie te ontwijken. WindowServer fungeert als een fundamenteel systeemproces dat verantwoordelijk is voor het beheer van Windows en het weergeven van de grafische gebruikersinterface (GUI) van applicaties.
Trojan-Proxy wacht heimelijk op instructies van de aanvallers
Bij uitvoering op het besmette apparaat probeert de malware het IP-adres van de Command-and-Control (C2)-server te verkrijgen voor verbinding via DNS-over-HTTPS (DoH). Dit wordt bereikt door DNS-verzoeken en -antwoorden te coderen met behulp van het HTTPS-protocol.
Vervolgens brengt de Trojan-Proxy communicatie tot stand met de C2-server, in afwachting van verdere instructies. Het verwerkt inkomende berichten om informatie te extraheren zoals het IP-adres waarmee verbinding moet worden gemaakt, het protocol dat moet worden gebruikt en het bericht dat moet worden verzonden. Dit betekent dat het in staat is om als proxy te functioneren via TCP of UDP, waarbij het verkeer via de geïnfecteerde host wordt omgeleid.
Volgens de door onderzoekers verstrekte informatie kan de Trojan-Proxy-malware al op 28 april 2023 worden getraceerd. Om dergelijke bedreigingen tegen te gaan, wordt gebruikers ten zeerste aangeraden geen software van onbetrouwbare bronnen te downloaden.
Trojaanse bedreigingen kunnen worden geprogrammeerd om een breed scala aan onveilige acties uit te voeren
Trojaanse malware brengt een breed scala aan risico's met zich mee voor gebruikers vanwege het misleidende en veelzijdige karakter ervan. Gebruikers wordt sterk aangeraden om een alomvattende beveiligingsaanpak op hun apparaten te implementeren, anders lopen ze het risico aanzienlijke gevolgen te ondervinden in het geval van een Trojan-infectie:
- Verborgen payloads : Trojaanse paarden vermommen zichzelf als legitieme software of bestanden en misleiden gebruikers om onbewust kwaadaardige code te installeren. De verborgen ladingen kunnen ransomware, spyware, keyloggers of andere soorten destructieve software omvatten.
- Gegevensdiefstal : Trojaanse paarden zijn vaak bedoeld om bepaalde informatie te verzamelen, waaronder inloggegevens, financiële gegevens of persoonlijke gegevens. Deze verzamelde informatie kan worden misbruikt voor verschillende onveilige doeleinden, waaronder identiteitsdiefstal, financiële fraude of ongeautoriseerde toegang tot gevoelige accounts.
- Toegang op afstand : Sommige Trojaanse paarden zijn ontworpen om ongeautoriseerde toegang op afstand aan een aanvaller te verlenen. Zodra de Trojan is ingezet, krijgt de aanvaller controle over het geïnfecteerde systeem, waardoor hij bestanden kan manipuleren, extra malware kan installeren of zelfs het aangetaste apparaat kan gebruiken bij grootschalige aanvallen.
- Botnetvorming : Trojaanse paarden kunnen bijdragen aan de creatie van botnets. Botnets zijn netwerken van gemanipuleerde computers die door één enkele entiteit worden beheerd. Deze botnets kunnen worden ingezet voor verschillende onveilige activiteiten, zoals het lanceren van Distributed Denial-of-Service (DDoS)-aanvallen, het verspreiden van spam of het deelnemen aan andere gecoördineerde cyberdreigingen.
- Systeemschade : Trojaanse paarden kunnen worden geprogrammeerd om directe schade toe te brengen aan het systeem van een gebruiker door bestanden te verwijderen, instellingen te wijzigen of het systeem onbruikbaar te maken. Dit kan leiden tot aanzienlijk gegevensverlies en de normale computeractiviteiten verstoren.
- Proxydiensten : Bepaalde Trojaanse paarden fungeren als proxyservers, waardoor aanvallers hun internetverkeer via het geïnfecteerde systeem kunnen routeren. Dit kan worden uitgebuit om kwaadaardige activiteiten uit te voeren en tegelijkertijd de ware bron van de aanvallen te verbergen, waardoor het voor autoriteiten een uitdaging wordt om de oorsprong te achterhalen.
- Verspreiding van andere malware : Trojaanse paarden dienen vaak als vehikel voor het verspreiden van andere soorten malware. Eenmaal in een systeem kunnen ze aanvullende kwaadaardige software downloaden en installeren, waardoor de bedreigingen waarmee de gebruiker wordt geconfronteerd, nog groter worden.
Om de risico's die gepaard gaan met Trojan-malware te beperken, wordt gebruikers geadviseerd om robuuste cyberbeveiligingspraktijken toe te passen, waaronder het gebruik van gerenommeerde anti-malwaresoftware, regelmatige systeemupdates en voorzichtigheid te betrachten bij het downloaden van bestanden of het klikken op koppelingen, vooral van onbetrouwbare bronnen.
