木马代理恶意软件
作为盗版软件平台运行的流氓网站已被确定为木马应用程序的主要来源,这些应用程序通过新型木马代理恶意软件感染 macOS 用户。这种恶意软件使攻击者能够通过建立代理服务器网络或代表受害者从事非法活动来创收。此类活动可能包括对网站、公司和个人发起攻击,以及购买枪支、毒品和其他非法物品。
网络安全专家发现的证据表明该恶意软件构成了跨平台威胁。 Windows 和 Android 系统中发现的与盗版工具相关的工件证实了这一点。
目录
特洛伊木马代理恶意软件能够感染 macOS 设备
该活动的 macOS 变体通过伪装成合法的多媒体、图像编辑、数据恢复和生产力工具进行传播。这表明寻求盗版软件的个人成为攻击的焦点。与以磁盘映像 (.DMG) 文件形式分发的正版版本不同,假冒版本以 .PKG 安装程序形式提供。这些安装程序包含一个安装后脚本,该脚本会在安装过程后触发恶意活动。由于安装程序通常会请求管理员权限,因此执行的脚本会继承这些权限。
该活动的最终目标是释放特洛伊木马代理,该木马代理将自己伪装成 macOS 上的 WindowServer 进程以逃避检测。 WindowServer 作为一个基本系统进程,负责管理 Windows 和呈现应用程序的图形用户界面 (GUI)。
特洛伊木马代理悄悄等待攻击者的指令
在受感染的设备上执行后,恶意软件会尝试获取命令与控制 (C2) 服务器的 IP 地址,以便通过 DNS-over-HTTPS (DoH) 进行连接。这是通过使用 HTTPS 协议加密 DNS 请求和响应来实现的。
随后,特洛伊木马代理与 C2 服务器建立通信,等待进一步指令。它处理传入的消息以提取信息,例如要连接的 IP 地址、要使用的协议以及要传输的消息。这意味着它能够通过 TCP 或 UDP 充当代理,通过受感染的主机重定向流量。
根据研究人员提供的信息,Trojan-Proxy 恶意软件最早可以追溯到 2023 年 4 月 28 日。为了应对此类威胁,强烈建议用户尽量不要从不受信任的来源下载软件。
特洛伊木马威胁可被编程为执行各种不安全操作
特洛伊木马恶意软件由于其欺骗性和多方面的性质,给用户带来了多种风险。强烈建议用户在其设备上实施全面的安全方法,否则在木马感染的情况下可能会遭受严重后果:
- 隐藏的有效负载:木马将自己伪装成合法软件或文件,诱骗用户无意中安装恶意代码。隐藏的有效负载可能包括勒索软件、间谍软件、键盘记录程序或其他类型的破坏性软件。
- 数据盗窃:木马通常旨在收集特定信息,包括登录凭据、财务数据或个人详细信息。这些收集到的信息可能会被用于各种不安全的目的,包括身份盗窃、财务欺诈或未经授权访问敏感帐户。
- 远程访问:某些特洛伊木马旨在向攻击者授予未经授权的远程访问权限。一旦部署特洛伊木马,攻击者就会获得对受感染系统的控制,从而允许他们操纵文件、安装其他恶意软件,甚至在更大规模的攻击中使用受感染的设备。
- 僵尸网络的形成:特洛伊木马可能有助于僵尸网络的创建。僵尸网络是由单个实体控制的被篡改的计算机网络。这些僵尸网络可用于各种不安全活动,例如发起分布式拒绝服务 (DDoS) 攻击、传播垃圾邮件或参与其他协调的网络威胁。
- 系统损坏:特洛伊木马可能会被编程为通过删除文件、修改设置或使系统无法运行来对用户系统造成直接损害。这可能会导致大量数据丢失并扰乱正常的计算活动。
- 代理服务:某些特洛伊木马充当代理服务器,使攻击者能够通过受感染的系统路由其互联网流量。这可以被用来进行恶意活动,同时隐藏攻击的真正来源,使当局很难追踪攻击源。
- 其他恶意软件的传播:特洛伊木马通常充当传播其他类型恶意软件的工具。一旦进入系统,他们就可以下载并安装其他恶意软件,从而加剧用户面临的威胁。
为了减轻与特洛伊木马恶意软件相关的风险,建议用户采用强大的网络安全实践,包括使用信誉良好的反恶意软件、定期系统更新以及在下载文件或单击链接(尤其是来自不可信来源的链接)时保持谨慎。
