Złośliwe oprogramowanie typu trojan-proxy
Fałszywe strony internetowe działające jako platformy dla pirackiego oprogramowania zostały zidentyfikowane jako główne źródło trojanizowanych aplikacji, które infekują użytkowników systemu macOS nowatorskim złośliwym oprogramowaniem Trojan-Proxy. To złośliwe oprogramowanie umożliwia atakującym generowanie przychodów poprzez tworzenie sieci serwerów proxy lub angażowanie się w nielegalne działania w imieniu ofiary. Działania takie mogą obejmować przeprowadzanie ataków na strony internetowe, firmy i osoby prywatne, a także zakup broni palnej, narkotyków i innych nielegalnych przedmiotów.
Eksperci w dziedzinie cyberbezpieczeństwa odkryli dowody sugerujące, że to złośliwe oprogramowanie stanowi zagrożenie dla wielu platform. Potwierdzają to artefakty wykryte w systemach Windows i Android, które powiązano z pirackimi narzędziami.
Spis treści
Złośliwe oprogramowanie typu trojan-proxy może infekować urządzenia z systemem macOS
Warianty kampanii na macOS rozprzestrzeniały się podszywając się pod legalne multimedia, narzędzia do edycji obrazów, odzyskiwania danych i zwiększające produktywność. Oznacza to, że głównym punktem ataku stają się osoby poszukujące pirackiego oprogramowania. W przeciwieństwie do ich autentycznych odpowiedników, które są dystrybuowane jako pliki obrazu dysku (.DMG), fałszywe wersje są dostarczane jako instalatory .PKG. Instalatory te zawierają skrypt poinstalacyjny, który uruchamia złośliwe działania po zakończeniu procesu instalacji. Ponieważ instalatory zazwyczaj żądają uprawnień administratora, wykonany skrypt dziedziczy te uprawnienia.
Ostatecznym celem kampanii jest uwolnienie trojana-proxy, który podszywa się pod proces WindowServer w systemie macOS, aby uniknąć wykrycia. WindowServer to podstawowy proces systemowy odpowiedzialny za zarządzanie systemem Windows i renderowanie graficznego interfejsu użytkownika (GUI) aplikacji.
Trojan-Proxy ukradkiem czeka na instrukcje od atakujących
Po uruchomieniu na zaatakowanym urządzeniu szkodliwe oprogramowanie próbuje uzyskać adres IP serwera dowodzenia i kontroli (C2) w celu połączenia poprzez DNS-over-HTTPS (DoH). Osiąga się to poprzez szyfrowanie żądań i odpowiedzi DNS przy użyciu protokołu HTTPS.
Następnie trojan-proxy nawiązuje komunikację z serwerem C2 i oczekuje na dalsze instrukcje. Przetwarza przychodzące wiadomości w celu wyodrębnienia informacji, takich jak adres IP, z którym należy się połączyć, zastosowany protokół i wiadomość do przesłania. Oznacza to, że może działać jako serwer proxy poprzez TCP lub UDP, przekierowując ruch przez zainfekowany host.
Według informacji dostarczonych przez badaczy, ślady szkodliwego oprogramowania typu trojan-proxy można wyśledzić już 28 kwietnia 2023 r. Aby przeciwdziałać takim zagrożeniom, zdecydowanie zaleca się użytkownikom, aby nie pobierali oprogramowania z niezaufanych źródeł.
Zagrożenia trojańskie można zaprogramować tak, aby wykonywały szeroki zakres niebezpiecznych działań
Trojan złośliwe oprogramowanie stwarza różnorodny zestaw zagrożeń dla użytkowników ze względu na jego zwodniczy i wieloaspektowy charakter. Użytkownikom zdecydowanie zaleca się wdrożenie kompleksowego podejścia do bezpieczeństwa na swoich urządzeniach, gdyż w przeciwnym razie mogą ponieść poważne konsekwencje w przypadku infekcji trojanem:
- Ukryte ładunki : trojany udają legalne oprogramowanie lub pliki, nakłaniając użytkowników do nieświadomego zainstalowania złośliwego kodu. Ukryte ładunki mogą obejmować oprogramowanie ransomware, oprogramowanie szpiegowskie, programy rejestrujące naciśnięcia klawiszy lub inne rodzaje destrukcyjnego oprogramowania.
- Kradzież danych : trojany często mają na celu zebranie określonych informacji, w tym danych logowania, danych finansowych lub danych osobowych. Zebrane informacje mogą zostać wykorzystane do różnych niebezpiecznych celów, w tym do kradzieży tożsamości, oszustw finansowych lub nieautoryzowanego dostępu do wrażliwych kont.
- Zdalny dostęp : niektóre trojany mają na celu umożliwienie atakującemu nieautoryzowanego dostępu zdalnego. Po wdrożeniu trojana osoba atakująca uzyskuje kontrolę nad zainfekowanym systemem, umożliwiając mu manipulowanie plikami, instalowanie dodatkowego złośliwego oprogramowania, a nawet używanie zaatakowanego urządzenia w atakach na większą skalę.
- Tworzenie botnetów : trojany mogą przyczyniać się do tworzenia botnetów. Botnety to sieci zhakowanych komputerów kontrolowane przez jeden podmiot. Botnety te można wykorzystywać do różnych niebezpiecznych działań, takich jak przeprowadzanie ataków typu rozproszona odmowa usługi (DDoS), rozprzestrzenianie spamu lub uczestnictwo w innych skoordynowanych zagrożeniach cybernetycznych.
- Uszkodzenie systemu : trojany mogą zostać zaprogramowane tak, aby powodować bezpośrednie szkody w systemie użytkownika poprzez usuwanie plików, modyfikowanie ustawień lub uniemożliwianie działania systemu. Może to spowodować znaczną utratę danych i zakłócić normalne czynności komputerowe.
- Usługi proxy : niektóre trojany działają jako serwery proxy, umożliwiając atakującym kierowanie ruchu internetowego przez zainfekowany system. Można to wykorzystać do prowadzenia szkodliwych działań przy jednoczesnym ukrywaniu prawdziwego źródła ataków, co utrudnia władzom prześledzenie ich pochodzenia.
- Rozprzestrzenianie innego złośliwego oprogramowania : Trojany często służą jako nośniki dostarczania innych typów złośliwego oprogramowania. Gdy znajdą się w systemie, mogą pobrać i zainstalować dodatkowe złośliwe oprogramowanie, zwiększając zagrożenia, na jakie narażony jest użytkownik.
Aby ograniczyć ryzyko związane ze złośliwym oprogramowaniem typu trojan, użytkownikom zaleca się stosowanie solidnych praktyk w zakresie cyberbezpieczeństwa, w tym korzystanie z renomowanego oprogramowania chroniącego przed złośliwym oprogramowaniem, regularne aktualizacje systemu i zachowanie ostrożności podczas pobierania plików lub klikania łączy, zwłaszcza z niezaufanych źródeł.
