Monen lisenssin alennukset
Threat Database Mac Malware Troijan välityspalvelimen haittaohjelma

Troijan välityspalvelimen haittaohjelma

Vuonna Mezo vuonna Mac Malware, Trojans
Käännä:
Suomi

Rogue-sivustot, jotka toimivat piraattiohjelmistojen alustoina, on tunnistettu ensisijaiseksi lähteeksi troijalaisista sovelluksista, jotka saastuttavat macOS-käyttäjät uudella Trojan-Proxy-haittaohjelmalla. Tämän haittaohjelman avulla hyökkääjät voivat tuottaa tuloja perustamalla välityspalvelinverkoston tai ryhtymällä laittomiin toimiin uhrin puolesta. Tällaisia toimia voivat olla hyökkäykset verkkosivustoja, yrityksiä ja henkilöitä vastaan sekä ampuma-aseiden, huumeiden ja muiden laittomien esineiden ostaminen.

Kyberturvallisuuden asiantuntijat ovat löytäneet todisteita, jotka viittaavat siihen, että tämä haittaohjelma muodostaa alustojen välisen uhan. Tätä tukevat sekä Windows- että Android-järjestelmille löydetyt artefaktit, jotka liittyvät piraattityökaluihin.

Trojan-välityspalvelinhaittaohjelma pystyy saastuttamaan macOS-laitteita

Kampanjan macOS-versiot levisivät naamioitumalla laillisiksi multimedia-, kuvankäsittely-, tiedonpalautus- ja tuottavuustyökaluiksi. Tämä osoittaa, että piraattiohjelmistoja etsivistä henkilöistä tulee hyökkäyksen keskipiste. Toisin kuin aidot vastineensa, jotka jaetaan levykuvatiedostoina (.DMG), väärennetyt versiot toimitetaan .PKG-asennusohjelmina. Nämä asennusohjelmat sisältävät asennuksen jälkeisen komentosarjan, joka käynnistää haitallisia toimintoja asennuksen jälkeen. Koska asentajat yleensä pyytävät järjestelmänvalvojan oikeuksia, suoritettu komentosarja perii nämä oikeudet.

Kampanjan perimmäisenä tavoitteena on päästää valloilleen Trojan-välityspalvelin, joka naamioituu MacOS:n WindowServer-prosessiksi välttääkseen havaitsemisen. WindowServer toimii perustavanlaatuisena järjestelmäprosessina, joka vastaa Windowsin hallinnasta ja sovellusten graafisen käyttöliittymän (GUI) renderöimisestä.

Troijalainen-välityspalvelin odottaa salaa hyökkääjien ohjeita

Kun haittaohjelma suoritetaan vaarantuneella laitteella, se yrittää hankkia Command-and-Control (C2) -palvelimen IP-osoitteen DNS-over-HTTPS (DoH) -yhteyttä varten. Tämä saavutetaan salaamalla DNS-pyynnöt ja vastaukset HTTPS-protokollalla.

Tämän jälkeen troijalainen välityspalvelin muodostaa yhteyden C2-palvelimeen odottaen lisäohjeita. Se käsittelee saapuvat viestit poimiakseen tietoja, kuten IP-osoitteen yhteyden muodostamiseksi, käytettävän protokollan ja lähetettävän viestin. Tämä tarkoittaa sen kykyä toimia välityspalvelimena TCP:n tai UDP:n kautta ja ohjata liikennettä tartunnan saaneen isännän kautta.

Tutkijoiden antamien tietojen mukaan Trojan-Proxy-haittaohjelma voidaan jäljittää jo 28. huhtikuuta 2023 lähtien. Tällaisten uhkien torjumiseksi käyttäjiä kehotetaan olemaan lataamatta ohjelmistoja epäluotettavista lähteistä.

Troijalaiset uhkat voidaan ohjelmoida suorittamaan monenlaisia vaarallisia toimia

Troijalaiset haittaohjelmat aiheuttavat käyttäjille monenlaisia riskejä petollisen ja monitahoisen luonteensa vuoksi. Käyttäjiä kehotetaan ottamaan käyttöön kattava tietoturvalähestymistapa laitteissaan tai he voivat kärsiä merkittävistä seurauksista troijalaisen tartunnan yhteydessä:

  • Piilotetut hyötykuormat : Troijalaiset naamioituvat laillisiksi ohjelmistoiksi tai tiedostoiksi ja huijaavat käyttäjiä asentamaan tahattomasti haitallista koodia. Piilotettu hyötykuorma voi sisältää kiristysohjelmia, vakoiluohjelmia, näppäinloggereja tai muun tyyppisiä tuhoavia ohjelmistoja.
  • Tietovarkaus : Troijalaiset pyrkivät usein keräämään tiettyjä tietoja, mukaan lukien kirjautumistiedot, taloudelliset tiedot tai henkilötiedot. Näitä kerättyjä tietoja voidaan hyödyntää useisiin vaarallisiin tarkoituksiin, mukaan lukien identiteettivarkaudet, talouspetokset tai luvaton pääsy arkaluontoisille tileille.
  • Etäkäyttö : Jotkut troijalaiset on suunniteltu antamaan hyökkääjälle luvaton etäkäyttö. Kun troijalainen on otettu käyttöön, hyökkääjä saa tartunnan saaneen järjestelmän hallintaansa, jolloin hän voi käsitellä tiedostoja, asentaa lisähaittaohjelmia tai jopa käyttää vaarantunutta laitetta laajempiin hyökkäyksiin.
  • Bottiverkkojen muodostus : Troijalaiset voivat osallistua bottiverkkojen luomiseen. Bottiverkot ovat peukaloitujen tietokoneiden verkkoja, joita yksi kokonaisuus hallitsee. Näitä bottiverkkoja voidaan käyttää erilaisiin vaarallisiin toimintoihin, kuten DDoS-hyökkäysten käynnistämiseen, roskapostin levittämiseen tai muihin koordinoituihin kyberuhkiin osallistumiseen.
  • Järjestelmävaurio : Troijalaiset voidaan ohjelmoida aiheuttamaan suoraa haittaa käyttäjän järjestelmälle poistamalla tiedostoja, muokkaamalla asetuksia tai tekemällä järjestelmän käyttökelvottomaksi. Tämä voi johtaa merkittäviin tietojen menetykseen ja häiritä normaalia tietojenkäsittelyä.
  • Välityspalvelimet : Tietyt troijalaiset toimivat välityspalvelimina, jolloin hyökkääjät voivat reitittää Internet-liikennensä tartunnan saaneen järjestelmän läpi. Tätä voidaan käyttää hyväksi haitallisten toimintojen suorittamiseen piilottaen samalla hyökkäysten todellisen lähteen, jolloin viranomaisten on haastavaa jäljittää hyökkäysten alkuperä.
  • Muiden haittaohjelmien leviäminen : Troijalaiset toimivat usein kulkuvälineinä muun tyyppisten haittaohjelmien toimittamisessa. Järjestelmän sisällä he voivat ladata ja asentaa lisää haittaohjelmia, mikä pahentaa käyttäjän kohtaamia uhkia.

Troijalaisten haittaohjelmiin liittyvien riskien vähentämiseksi käyttäjiä kehotetaan käyttämään vankkoja kyberturvallisuuskäytäntöjä, mukaan lukien hyvämaineisten haittaohjelmien torjuntaohjelmistojen käyttö, säännölliset järjestelmäpäivitykset ja noudattamaan varovaisuutta lataaessaan tiedostoja tai napsauttamalla linkkejä erityisesti epäluotettavista lähteistä.

Trendaavat

Eniten katsottu

Ladataan...