Trojan-Proxy Malware

Ang mga rogue na website na tumatakbo bilang mga platform para sa pirated na software ay natukoy bilang pangunahing pinagmumulan ng mga trojanized na app na nakakahawa sa mga gumagamit ng macOS ng isang nobelang Trojan-Proxy malware. Ang malware na ito ay nagbibigay-daan sa mga umaatake na makabuo ng kita sa pamamagitan ng pagtatatag ng network ng mga proxy server o pagsasagawa ng mga ipinagbabawal na aktibidad sa ngalan ng biktima. Maaaring kabilang sa mga naturang aktibidad ang paglulunsad ng mga pag-atake sa mga website, kumpanya, at indibidwal, pati na rin ang pagbili ng mga baril, droga, at iba pang ilegal na bagay.

Natuklasan ng mga eksperto sa cybersecurity ang ebidensya na nagmumungkahi na ang malware na ito ay nagdudulot ng banta sa cross-platform. Ito ay pinatunayan ng mga artifact na natuklasan para sa parehong Windows at Android system, na nauugnay sa mga pirated na tool.

Ang Trojan-Proxy Malware ay May Kakayahang Makahawa sa Mga macOS Device

Ang mga variant ng macOS ng kampanya ay kumakalat sa pamamagitan ng pagbabalatkayo bilang mga lehitimong multimedia, pag-edit ng larawan, pagbawi ng data, at mga tool sa pagiging produktibo. Ipinahihiwatig nito na ang mga indibidwal na naghahanap ng pirated na software ang nagiging focal point ng pag-atake. Hindi tulad ng kanilang mga tunay na katapat, na ibinabahagi bilang mga file ng disk image (.DMG), ang mga pekeng bersyon ay ibinibigay bilang mga installer ng .PKG. Kasama sa mga installer na ito ang post-install na script na nagti-trigger ng mga nakakahamak na aktibidad pagkatapos ng proseso ng pag-install. Dahil ang mga installer ay karaniwang humihiling ng mga pahintulot ng administrator, ang script na naisakatuparan ay namamana ng mga pahintulot na ito.

Ang pinakalayunin ng kampanya ay ilabas ang Trojan-Proxy, na nagpapakilala sa sarili nito bilang proseso ng WindowServer sa macOS upang maiwasan ang pagtuklas. Ang WindowServer ay nagsisilbing pangunahing proseso ng system na responsable para sa pamamahala ng Windows at pag-render ng graphical user interface (GUI) ng mga application.

Ang Trojan-Proxy ay Palihim na Naghihintay para sa Mga Tagubilin mula sa mga Attacker

Sa pag-execute sa nakompromisong device, nagsusumikap ang malware na makuha ang IP address ng Command-and-Control (C2) server para sa koneksyon sa pamamagitan ng DNS-over-HTTPS (DoH). Nakamit ito sa pamamagitan ng pag-encrypt ng mga kahilingan at tugon ng DNS gamit ang HTTPS protocol.

Kasunod nito, ang Trojan-Proxy ay nagtatatag ng komunikasyon sa C2 server, naghihintay ng karagdagang mga tagubilin. Pinoproseso nito ang mga papasok na mensahe upang kunin ang impormasyon tulad ng IP address na ikokonekta, ang protocol na gagamitin, at ang mensaheng ipapadala. Ipinapahiwatig nito ang kakayahang gumana bilang isang proxy sa pamamagitan ng TCP o UDP, na nagre-redirect ng trapiko sa pamamagitan ng nahawaang host.

Alinsunod sa impormasyong ibinigay ng mga mananaliksik, ang Trojan-Proxy malware ay maaaring masubaybayan noong Abril 28, 2023. Upang malabanan ang mga naturang banta, ang mga user ay mahigpit na pinapayuhan na subukang huwag mag-download ng software mula sa mga hindi pinagkakatiwalaang mapagkukunan.

Ang mga Trojan Threats ay maaaring i-program upang Magsagawa ng isang malawak na hanay ng mga hindi ligtas na pagkilos

Ang Trojan malware ay nagdudulot ng magkakaibang hanay ng mga panganib sa mga user dahil sa mapanlinlang at maraming aspeto nito. Ang mga gumagamit ay mahigpit na pinapayuhan na magpatupad ng isang komprehensibong diskarte sa seguridad sa kanilang mga aparato o panganib na magdusa ng mga makabuluhang kahihinatnan sa kaso ng impeksyon sa Trojan:

• Mga Nakatagong Payload : Ang mga Trojan ay nagkukunwaring lehitimong software o mga file, na nanlilinlang sa mga user na hindi sinasadyang mag-install ng malisyosong code. Maaaring kasama sa mga nakatagong payload ang ransomware, spyware, keylogger, o iba pang uri ng mapanirang software.
• Pagnanakaw ng Data : Madalas na nilalayon ng mga Trojan na mangolekta ng partikular na impormasyon , kabilang ang mga kredensyal sa pag-log in, data sa pananalapi, o mga personal na detalye. Ang nakolektang impormasyong ito ay maaaring samantalahin para sa iba't ibang hindi ligtas na layunin, kabilang ang pagnanakaw ng pagkakakilanlan, pandaraya sa pananalapi, o hindi awtorisadong pag-access sa mga sensitibong account.
• Remote Access : Ang ilang mga Trojan ay idinisenyo upang magbigay ng hindi awtorisadong malayuang pag-access sa isang umaatake. Kapag na-deploy na ang Trojan, magkakaroon ng kontrol ang attacker sa infected na system, na nagpapahintulot sa kanila na manipulahin ang mga file, mag-install ng karagdagang malware, o kahit na gamitin ang nakompromisong device sa mas malalaking pag-atake.
• Botnet Formation : Ang mga Trojan ay maaaring mag-ambag sa paglikha ng mga botnet. Ang mga botnet ay mga network ng mga na-tamper na computer na kinokontrol ng isang entity. Maaaring gamitin ang mga botnet na ito para sa iba't ibang hindi ligtas na aktibidad, gaya ng paglulunsad ng mga Distributed Denial-of-Service (DDoS) na pag-atake, pagkalat ng spam, o paglahok sa iba pang pinag-ugnay na banta sa cyber.
• Pinsala ng System : Maaaring i-program ang mga Trojan upang magdulot ng direktang pinsala sa system ng isang user sa pamamagitan ng pagtanggal ng mga file, pagbabago ng mga setting, o pag-render ng system na hindi gumagana. Maaari itong magresulta sa malaking pagkawala ng data at makagambala sa mga normal na aktibidad sa pag-compute.
• Mga Serbisyo ng Proxy : Ang ilang mga Trojan ay gumagana bilang mga proxy server, na nagbibigay-daan sa mga umaatake na iruta ang kanilang trapiko sa internet sa pamamagitan ng nahawaang sistema. Maaari itong pagsamantalahan upang magsagawa ng mga malisyosong aktibidad habang itinatago ang tunay na pinagmulan ng mga pag-atake, na ginagawang hamon para sa mga awtoridad na tunton ang pinagmulan.
• Pagpapalaganap ng Iba Pang Malware : Ang mga Trojan ay kadalasang nagsisilbing mga sasakyan para sa paghahatid ng iba pang mga uri ng malware. Kapag nasa loob na ng isang system, maaari silang mag-download at mag-install ng karagdagang malisyosong software, na pinagsasama ang mga banta na kinakaharap ng user.

Upang mabawasan ang mga panganib na nauugnay sa Trojan malware, pinapayuhan ang mga user na gumamit ng matatag na mga kasanayan sa cybersecurity, kabilang ang paggamit ng mapagkakatiwalaang software na anti-malware, regular na pag-update ng system, at pag-iingat kapag nagda-download ng mga file o nagki-click sa mga link, lalo na mula sa mga hindi pinagkakatiwalaang source.