Phần mềm độc hại Trojan-Proxy

Các trang web giả mạo hoạt động dưới dạng nền tảng cho phần mềm vi phạm bản quyền đã được xác định là nguồn chính của các ứng dụng trojan lây nhiễm phần mềm độc hại Trojan-Proxy mới cho người dùng macOS. Phần mềm độc hại này cho phép kẻ tấn công tạo doanh thu bằng cách thiết lập mạng lưới máy chủ proxy hoặc thay mặt nạn nhân tham gia vào các hoạt động bất hợp pháp. Những hoạt động như vậy có thể bao gồm phát động các cuộc tấn công vào các trang web, công ty và cá nhân cũng như mua súng, ma túy và các mặt hàng bất hợp pháp khác.

Các chuyên gia về an ninh mạng đã phát hiện ra bằng chứng cho thấy phần mềm độc hại này gây ra mối đe dọa đa nền tảng. Điều này được chứng minh bằng các hiện vật được phát hiện trên cả hệ thống Windows và Android, có liên quan đến các công cụ vi phạm bản quyền.

Phần mềm độc hại Trojan-Proxy có khả năng lây nhiễm các thiết bị macOS

Các biến thể macOS của chiến dịch lan truyền bằng cách giả dạng các công cụ đa phương tiện, chỉnh sửa hình ảnh, phục hồi dữ liệu và năng suất hợp pháp. Điều này cho thấy rằng các cá nhân tìm kiếm phần mềm vi phạm bản quyền sẽ trở thành tâm điểm của cuộc tấn công. Không giống như các phiên bản xác thực của chúng, được phân phối dưới dạng tệp hình ảnh đĩa (.DMG), các phiên bản giả mạo được cung cấp dưới dạng trình cài đặt .PKG. Những trình cài đặt này bao gồm một tập lệnh sau cài đặt kích hoạt các hoạt động độc hại sau quá trình cài đặt. Vì trình cài đặt thường yêu cầu quyền quản trị viên nên tập lệnh được thực thi sẽ kế thừa các quyền này.

Mục tiêu cuối cùng của chiến dịch là giải phóng Trojan-Proxy, nó ngụy trang thành quy trình WindowServer trên macOS để tránh bị phát hiện. WindowServer đóng vai trò là một quy trình hệ thống cơ bản chịu trách nhiệm quản lý Windows và hiển thị giao diện người dùng đồ họa (GUI) của các ứng dụng.

Trojan-Proxy lén lút chờ đợi hướng dẫn từ những kẻ tấn công

Sau khi thực thi trên thiết bị bị xâm nhập, phần mềm độc hại sẽ cố gắng lấy địa chỉ IP của máy chủ Lệnh và Kiểm soát (C2) để kết nối thông qua DNS-over-HTTPS (DoH). Điều này đạt được bằng cách mã hóa các yêu cầu và phản hồi DNS bằng giao thức HTTPS.

Sau đó, Trojan-Proxy thiết lập liên lạc với máy chủ C2, chờ hướng dẫn thêm. Nó xử lý các tin nhắn đến để trích xuất thông tin như địa chỉ IP cần kết nối, giao thức sử dụng và tin nhắn cần truyền. Điều này biểu thị khả năng hoạt động như một proxy thông qua TCP hoặc UDP, chuyển hướng lưu lượng truy cập qua máy chủ bị nhiễm.

Theo thông tin do các nhà nghiên cứu cung cấp, phần mềm độc hại Trojan-Proxy có thể được truy tìm từ ngày 28 tháng 4 năm 2023. Để chống lại các mối đe dọa như vậy, người dùng được khuyên không nên tải xuống phần mềm từ các nguồn không đáng tin cậy.

Các mối đe dọa Trojan có thể được lập trình để thực hiện nhiều hành động không an toàn

Phần mềm độc hại Trojan gây ra nhiều rủi ro cho người dùng do tính chất lừa đảo và nhiều mặt của nó. Người dùng được khuyến cáo thực hiện phương pháp bảo mật toàn diện trên thiết bị của mình nếu không sẽ có nguy cơ phải gánh chịu hậu quả đáng kể trong trường hợp nhiễm Trojan:

• Tải trọng bị che giấu : Trojan ngụy trang dưới dạng phần mềm hoặc tệp hợp pháp, lừa người dùng vô tình cài đặt mã độc. Tải trọng bị che giấu có thể bao gồm ransomware, phần mềm gián điệp, keylogger hoặc các loại phần mềm phá hoại khác.
• Trộm cắp dữ liệu : Trojan thường nhằm mục đích thu thập thông tin cụ thể, bao gồm thông tin xác thực đăng nhập, dữ liệu tài chính hoặc thông tin cá nhân. Thông tin được thu thập này có thể bị khai thác cho nhiều mục đích không an toàn khác nhau, bao gồm đánh cắp danh tính, gian lận tài chính hoặc truy cập trái phép vào các tài khoản nhạy cảm.
• Truy cập từ xa : Một số Trojan được thiết kế để cấp quyền truy cập từ xa trái phép cho kẻ tấn công. Sau khi Trojan được triển khai, kẻ tấn công sẽ giành quyền kiểm soát hệ thống bị nhiễm, cho phép chúng thao túng các tệp, cài đặt phần mềm độc hại bổ sung hoặc thậm chí sử dụng thiết bị bị xâm nhập trong các cuộc tấn công quy mô lớn hơn.
• Hình thành Botnet : Trojan có thể góp phần tạo ra các botnet. Botnet là mạng lưới các máy tính giả mạo được kiểm soát bởi một thực thể duy nhất. Các botnet này có thể được sử dụng cho nhiều hoạt động không an toàn khác nhau, chẳng hạn như phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), phát tán thư rác hoặc tham gia vào các mối đe dọa mạng phối hợp khác.
• Thiệt hại hệ thống : Trojan có thể được lập trình để gây tổn hại trực tiếp đến hệ thống của người dùng bằng cách xóa tệp, sửa đổi cài đặt hoặc khiến hệ thống không thể hoạt động. Điều này có thể dẫn đến mất dữ liệu đáng kể và làm gián đoạn các hoạt động tính toán thông thường.
• Dịch vụ proxy : Một số Trojan nhất định hoạt động như máy chủ proxy, cho phép kẻ tấn công định tuyến lưu lượng truy cập internet của chúng thông qua hệ thống bị nhiễm. Điều này có thể bị khai thác để tiến hành các hoạt động độc hại trong khi che giấu nguồn gốc thực sự của các cuộc tấn công, khiến cơ quan chức năng gặp khó khăn trong việc truy tìm nguồn gốc.
• Tuyên truyền phần mềm độc hại khác : Trojan thường đóng vai trò là phương tiện phát tán các loại phần mềm độc hại khác. Khi đã ở trong hệ thống, chúng có thể tải xuống và cài đặt thêm phần mềm độc hại, làm tăng thêm các mối đe dọa mà người dùng phải đối mặt.

Để giảm thiểu rủi ro liên quan đến phần mềm độc hại Trojan, người dùng nên áp dụng các biện pháp an ninh mạng mạnh mẽ, bao gồm sử dụng phần mềm chống phần mềm độc hại uy tín, cập nhật hệ thống thường xuyên và thận trọng khi tải xuống tệp hoặc nhấp vào liên kết, đặc biệt là từ các nguồn không đáng tin cậy.