Flerlicensrabatter
Threat Database Mac Malware Trojan-proxy skadlig programvara

Trojan-proxy skadlig programvara

Med Mezo år Mac Malware, Trojans
Översätt till:
Svenska

Falska webbplatser som fungerar som plattformar för piratkopierad programvara har identifierats som den primära källan till trojaniserade appar som infekterar macOS-användare med en ny Trojan-Proxy malware. Denna skadliga programvara gör det möjligt för angripare att generera intäkter genom att etablera ett nätverk av proxyservrar eller engagera sig i olagliga aktiviteter på uppdrag av offret. Sådana aktiviteter kan innefatta attacker mot webbplatser, företag och individer, samt köp av skjutvapen, droger och andra olagliga föremål.

Experter på cybersäkerhet har avslöjat bevis som tyder på att denna skadliga programvara utgör ett hot över flera plattformar. Detta underbyggs av artefakter som upptäckts för både Windows- och Android-system, som var associerade med piratkopierade verktyg.

Trojan-Proxy Malware kan infektera macOS-enheter

MacOS-varianterna av kampanjen spreds genom att maskera sig som legitima multimedia-, bildredigerings-, dataåterställnings- och produktivitetsverktyg. Detta indikerar att individer som söker piratkopierad programvara blir fokuspunkten för attacken. Till skillnad från deras autentiska motsvarigheter, som distribueras som diskavbildningsfiler (.DMG), levereras de förfalskade versionerna som .PKG-installatörer. Dessa installationsprogram inkluderar ett efterinstallationsskript som utlöser skadliga aktiviteter efter installationsprocessen. Eftersom installatörer vanligtvis begär administratörsbehörigheter, ärver det körda skriptet dessa behörigheter.

Det slutliga målet med kampanjen är att släppa lös Trojan-Proxyn, som förklädd sig som WindowServer-processen på macOS för att undvika upptäckt. WindowServer fungerar som en grundläggande systemprocess som ansvarar för att hantera Windows och rendera det grafiska användargränssnittet (GUI) för applikationer.

Trojan-proxy väntar smygande på instruktioner från angriparna

Vid körning på den komprometterade enheten strävar den skadliga programvaran efter att skaffa IP-adressen för Command-and-Control-servern (C2) för anslutning via DNS-over-HTTPS (DoH). Detta uppnås genom att kryptera DNS-förfrågningar och svar med hjälp av HTTPS-protokollet.

Därefter upprättar Trojan-Proxyn kommunikation med C2-servern i väntan på ytterligare instruktioner. Den behandlar inkommande meddelanden för att extrahera information såsom IP-adressen att ansluta till, protokollet som ska användas och meddelandet som ska överföras. Detta anger dess förmåga att fungera som en proxy via TCP eller UDP, som omdirigerar trafik genom den infekterade värden.

Enligt informationen från forskare kan skadlig programvara Trojan-Proxy spåras tillbaka till så tidigt som den 28 april 2023. För att motverka sådana hot, rekommenderas användare starkt att försöka att inte ladda ner programvara från opålitliga källor.

Trojanska hot kan programmeras för att utföra ett brett utbud av osäkra åtgärder

Trojanska skadliga program utgör en mängd olika risker för användare på grund av dess vilseledande och mångfacetterade natur. Användare rekommenderas starkt att implementera en omfattande säkerhetsstrategi på sina enheter eller riskera att drabbas av betydande konsekvenser i händelse av en trojansk infektion:

  • Dolda nyttolaster : Trojaner klär ut sig som legitim programvara eller filer och lurar användare att omedvetet installera skadlig kod. De dolda nyttolasterna kan inkludera ransomware, spionprogram, keyloggers eller andra typer av destruktiv programvara.
  • Datastöld : Trojaner syftar ofta till att samla in viss information, inklusive inloggningsuppgifter, ekonomiska data eller personliga uppgifter. Denna insamlade information kan utnyttjas för olika osäkra ändamål, inklusive identitetsstöld, ekonomiskt bedrägeri eller obehörig åtkomst till känsliga konton.
  • Fjärråtkomst : Vissa trojaner är utformade för att ge obehörig fjärråtkomst till en angripare. När trojanen väl är utplacerad får angriparen kontroll över det infekterade systemet, vilket gör att de kan manipulera filer, installera ytterligare skadlig programvara eller till och med använda den komprometterade enheten i större attacker.
  • Botnätbildning : Trojaner kan bidra till skapandet av botnät. Botnät är nätverk av manipulerade datorer som kontrolleras av en enda enhet. Dessa botnät kan användas för olika osäkra aktiviteter, som att starta DDoS-attacker (Distributed Denial-of-Service), sprida spam eller delta i andra samordnade cyberhot.
  • Systemskada : Trojaner kan programmeras för att orsaka direkt skada på en användares system genom att radera filer, ändra inställningar eller göra systemet obrukbart. Detta kan resultera i betydande dataförlust och störa normala datoraktiviteter.
  • Proxytjänster : Vissa trojaner fungerar som proxyservrar, vilket gör att angripare kan dirigera sin internettrafik genom det infekterade systemet. Detta kan utnyttjas för att utföra skadliga aktiviteter samtidigt som den verkliga källan till attackerna döljs, vilket gör det utmanande för myndigheterna att spåra ursprunget.
  • Spridning av annan skadlig programvara : Trojaner fungerar ofta som medel för att leverera andra typer av skadlig programvara. Väl inne i ett system kan de ladda ner och installera ytterligare skadlig programvara, vilket förvärrar de hot som användaren möter.

För att minska riskerna förknippade med trojanska skadliga program, rekommenderas användare att använda robusta cybersäkerhetsmetoder, inklusive användning av ansedd anti-malware-programvara, regelbundna systemuppdateringar och iaktta försiktighet när de laddar ner filer eller klickar på länkar, särskilt från opålitliga källor.

Trendigt

Mest sedda

Läser in...