木馬代理惡意軟體
作為盜版軟體平台運行的流氓網站已被確定為木馬應用程式的主要來源,這些應用程式透過新型木馬代理惡意軟體感染 macOS 用戶。這種惡意軟體使攻擊者能夠透過建立代理伺服器網路或代表受害者從事非法活動來創造收入。此類活動可能包括對網站、公司和個人發動攻擊,以及購買槍支、毒品和其他非法物品。
網路安全專家發現的證據表明該惡意軟體構成了跨平台威脅。 Windows 和 Android 系統中發現的與盜版工具相關的工件證實了這一點。
目錄
特洛伊木馬代理惡意軟體能夠感染 macOS 設備
該活動的 macOS 變體透過偽裝成合法的多媒體、影像編輯、資料復原和生產力工具進行傳播。這表明尋求盜版軟體的個人成為攻擊的焦點。與以磁碟映像 (.DMG) 檔案形式分發的正版版本不同,假冒版本以 .PKG 安裝程式形式提供。這些安裝程式包含一個安裝後腳本,該腳本會在安裝過程後觸發惡意活動。由於安裝程式通常會要求管理員權限,因此執行的腳本會繼承這些權限。
活動的最終目標是釋放特洛伊木馬代理,該木馬代理將自己偽裝成 macOS 上的 WindowServer 進程以逃避檢測。 WindowServer 作為一個基本系統流程,負責管理 Windows 和呈現應用程式的圖形使用者介面 (GUI)。
特洛伊木馬代理悄悄等待攻擊者的指令
在受感染的裝置上執行後,惡意軟體會嘗試取得命令與控制 (C2) 伺服器的 IP 位址,以便透過 DNS-over-HTTPS (DoH) 連線。這是透過使用 HTTPS 協定加密 DNS 請求和回應來實現的。
隨後,特洛伊木馬代理與 C2 伺服器建立通信,等待進一步指令。它處理傳入的訊息以提取訊息,例如要連接的 IP 位址、要使用的協定以及要傳輸的訊息。這意味著它能夠透過 TCP 或 UDP 充當代理,透過受感染的主機重定向流量。
根據研究人員提供的信息,Trojan-Proxy 惡意軟體最早可以追溯到 2023 年 4 月 28 日。為了應對此類威脅,強烈建議用戶盡量不要從不受信任的來源下載軟體。
特洛伊木馬威脅可被編程為執行各種不安全操作
特洛伊木馬惡意軟體由於其欺騙性和多方面的性質,給用戶帶來了多種風險。強烈建議使用者在其設備上實施全面的安全方法,否則在木馬感染的情況下可能會遭受嚴重後果:
- 隱藏的有效負載:木馬將自己偽裝成合法軟體或文件,誘騙用戶無意中安裝惡意程式碼。隱藏的有效負載可能包括勒索軟體、間諜軟體、鍵盤記錄程式或其他類型的破壞性軟體。
- 資料竊取:木馬通常旨在收集特定信息,包括登入憑證、財務資料或個人詳細資料。這些收集到的資訊可能會被用於各種不安全的目的,包括身分盜竊、財務詐欺或未經授權存取敏感帳戶。
- 遠端存取:某些特洛伊木馬旨在向攻擊者授予未經授權的遠端存取權限。一旦部署特洛伊木馬,攻擊者就會獲得對受感染系統的控制,從而允許他們操縱檔案、安裝其他惡意軟體,甚至在更大規模的攻擊中使用受感染的設備。
- 殭屍網路的形成:特洛伊木馬可能有助於殭屍網路的創建。殭屍網路是由單一實體控制的被竄改的電腦網路。這些殭屍網路可用於各種不安全活動,例如發動分散式阻斷服務 (DDoS) 攻擊、傳播垃圾郵件或參與其他協調的網路威脅。
- 系統損壞:特洛伊木馬可能會被編程為透過刪除檔案、修改設定或使系統無法運作來對使用者係統造成直接損害。這可能會導致大量資料遺失並擾亂正常的計算活動。
- 代理服務:某些特洛伊木馬充當代理伺服器,使攻擊者能夠透過受感染的系統路由其網路流量。這可以用來進行惡意活動,同時隱藏攻擊的真正來源,使當局難以追蹤攻擊來源。
- 其他惡意軟體的傳播:特洛伊木馬通常充當傳播其他類型惡意軟體的工具。一旦進入系統,他們就可以下載並安裝其他惡意軟體,從而加劇用戶面臨的威脅。
為了減輕與特洛伊木馬惡意軟體相關的風險,建議用戶採用強大的網路安全實踐,包括使用信譽良好的反惡意軟體、定期系統更新以及在下載檔案或點擊連結(尤其是來自不受信任來源的鏈接)時保持謹慎。
