Reduceri pentru mai multe licențe
Threat Database Mac Malware Malware troian-proxy

Malware troian-proxy

Până în Mezo în Mac Malware, Trojans
Tradu in:
Română

Site-urile web necinstite care operează ca platforme pentru software piratat au fost identificate ca sursa principală de aplicații troiene care infectează utilizatorii macOS cu un nou malware Trojan-Proxy. Acest malware le permite atacatorilor să genereze venituri prin stabilirea unei rețele de servere proxy sau angajându-se în activități ilicite în numele victimei. Astfel de activități pot include lansarea de atacuri asupra site-urilor web, companiilor și persoanelor fizice, precum și achiziționarea de arme de foc, droguri și alte articole ilegale.

Experții în securitate cibernetică au descoperit dovezi care sugerează că acest malware reprezintă o amenințare multiplatformă. Acest lucru este dovedit de artefacte descoperite atât pentru sistemele Windows, cât și pentru Android, care au fost asociate cu instrumente piratate.

Programul malware Trojan-Proxy este capabil să infecteze dispozitivele macOS

Variantele macOS ale campaniei s-au răspândit prin mascarizarea drept instrumente legitime multimedia, de editare a imaginilor, de recuperare a datelor și de productivitate. Acest lucru indică faptul că indivizii care caută software piratat devin punctul focal al atacului. Spre deosebire de omologii lor autentici, care sunt distribuite ca fișiere de imagine disc (.DMG), versiunile contrafăcute sunt furnizate ca programe de instalare .PKG. Aceste programe de instalare includ un script post-instalare care declanșează activități rău intenționate după procesul de instalare. Deoarece instalatorii solicită de obicei permisiuni de administrator, scriptul executat moștenește aceste permisiuni.

Obiectivul final al campaniei este de a dezlănțui Trojan-Proxy, care se deghizează în procesul WindowServer pe macOS pentru a evita detectarea. WindowServer servește ca un proces fundamental al sistemului responsabil pentru gestionarea Windows și redarea interfeței grafice cu utilizatorul (GUI) a aplicațiilor.

Trojan-Proxy așteaptă pe furiș instrucțiunile atacatorilor

La executarea pe dispozitivul compromis, malware-ul încearcă să obțină adresa IP a serverului Command-and-Control (C2) pentru conectare prin DNS-over-HTTPS (DoH). Acest lucru se realizează prin criptarea cererilor și răspunsurilor DNS folosind protocolul HTTPS.

Ulterior, Trojan-Proxy stabilește comunicarea cu serverul C2, așteptând instrucțiuni suplimentare. Procesează mesajele primite pentru a extrage informații precum adresa IP la care se conectează, protocolul de utilizat și mesajul de transmis. Aceasta înseamnă capacitatea sa de a funcționa ca proxy prin TCP sau UDP, redirecționând traficul prin gazda infectată.

Conform informațiilor furnizate de cercetători, malware-ul Trojan-Proxy poate fi urmărit încă din 28 aprilie 2023. Pentru a contracara astfel de amenințări, utilizatorii sunt sfătuiți să încerce să nu descarce software din surse nesigure.

Amenințările troiene ar putea fi programate pentru a executa o gamă largă de acțiuni nesigure

Programele malware troiene prezintă un set divers de riscuri pentru utilizatori datorită naturii sale înșelătoare și cu mai multe fațete. Utilizatorii sunt sfătuiți să implementeze o abordare cuprinzătoare de securitate pe dispozitivele lor sau riscă să sufere consecințe semnificative în cazul unei infecții troiene:

  • Încărcări utile ascunse : troienii se deghizează în software sau fișiere legitime, păcălind utilizatorii să instaleze fără să vrea cod rău intenționat. Sarcinile utile ascunse pot include ransomware, spyware, keylogger sau alte tipuri de software distructiv.
  • Furtul de date : Troienii urmăresc adesea să colecteze anumite informații, inclusiv date de conectare, date financiare sau detalii personale. Aceste informații colectate pot fi exploatate în diverse scopuri nesigure, inclusiv furtul de identitate, frauda financiară sau accesul neautorizat la conturi sensibile.
  • Acces de la distanță : Unii troieni sunt proiectați pentru a acorda acces neautorizat de la distanță unui atacator. Odată ce troianul este implementat, atacatorul câștigă controlul asupra sistemului infectat, permițându-i să manipuleze fișiere, să instaleze programe malware suplimentare sau chiar să folosească dispozitivul compromis în atacuri la scară mai mare.
  • Formarea rețelelor botnet : Troienii pot contribui la crearea rețelelor bot. Rețelele bot sunt rețele de computere manipulate controlate de o singură entitate. Aceste rețele bot pot fi folosite pentru diverse activități nesigure, cum ar fi lansarea de atacuri Distributed Denial-of-Service (DDoS), răspândirea spam-ului sau participarea la alte amenințări cibernetice coordonate.
  • Deteriorarea sistemului : Troienii pot fi programați pentru a provoca daune directe sistemului unui utilizator prin ștergerea fișierelor, modificarea setărilor sau făcând sistemul inoperabil. Acest lucru poate duce la pierderi semnificative de date și poate perturba activitățile normale de calcul.
  • Servicii proxy : anumiți troieni funcționează ca servere proxy, permițând atacatorilor să-și direcționeze traficul de internet prin sistemul infectat. Acest lucru poate fi exploatat pentru a desfășura activități rău intenționate în timp ce se ascunde adevărata sursă a atacurilor, ceea ce face dificil pentru autorități să urmărească originea.
  • Propagarea altor programe malware : troienii servesc adesea ca vehicule pentru livrarea altor tipuri de malware. Odată intrați în sistem, aceștia pot descărca și instala software rău intenționat suplimentar, agravând amenințările cu care se confruntă utilizatorul.

Pentru a atenua riscurile asociate cu programele malware troiene, utilizatorii sunt sfătuiți să folosească practici solide de securitate cibernetică, inclusiv utilizarea de software anti-malware de renume, actualizări regulate de sistem și prudență atunci când descarcă fișiere sau fac clic pe linkuri, în special din surse nesigure.

Trending

Cele mai văzute

Se încarcă...