Zlonamerna programska oprema Trojan-Proxy

Prevarantska spletna mesta, ki delujejo kot platforme za piratsko programsko opremo, so bila opredeljena kot glavni vir trojaniziranih aplikacij, ki uporabnike macOS okužijo z novo zlonamerno programsko opremo Trojan-Proxy. Ta zlonamerna programska oprema napadalcem omogoča ustvarjanje prihodkov z vzpostavitvijo omrežja proxy strežnikov ali vključevanjem v nedovoljene dejavnosti v imenu žrtve. Takšne dejavnosti lahko vključujejo napade na spletna mesta, podjetja in posameznike ter nakup strelnega orožja, mamil in drugih nezakonitih predmetov.

Strokovnjaki za kibernetsko varnost so odkrili dokaze, ki kažejo, da ta zlonamerna programska oprema predstavlja grožnjo med platformami. To potrjujejo artefakti, odkriti za sisteme Windows in Android, ki so bili povezani s piratskimi orodji.

Zlonamerna programska oprema Trojan-Proxy lahko okuži naprave macOS

Različice kampanje za macOS so se razširile tako, da so se predstavljale kot legitimna orodja za multimedijo, urejanje slik, obnovitev podatkov in produktivnost. To pomeni, da posamezniki, ki iščejo piratsko programsko opremo, postanejo osrednja točka napada. Za razliko od svojih pristnih primerkov, ki se distribuirajo kot datoteke s sliko diska (.DMG), so ponarejene različice dobavljene kot namestitveni programi .PKG. Ti namestitveni programi vključujejo skript po namestitvi, ki po namestitvenem postopku sproži zlonamerne dejavnosti. Ker namestitveni programi običajno zahtevajo skrbniška dovoljenja, izvedeni skript podeduje ta dovoljenja.

Končni cilj kampanje je sprostiti Trojan-Proxy, ki se preobleče v proces WindowServer v sistemu macOS, da bi se izognil odkrivanju. WindowServer služi kot temeljni sistemski proces, odgovoren za upravljanje sistema Windows in upodabljanje grafičnega uporabniškega vmesnika (GUI) aplikacij.

Trojan-Proxy prikrito čaka na navodila od napadalcev

Po izvedbi na ogroženi napravi si zlonamerna programska oprema prizadeva pridobiti naslov IP strežnika za ukazovanje in nadzor (C2) za povezavo prek DNS-over-HTTPS (DoH). To se doseže s šifriranjem zahtev in odgovorov DNS s protokolom HTTPS.

Nato Trojan-Proxy vzpostavi komunikacijo s strežnikom C2 in čaka na nadaljnja navodila. Obdeluje dohodna sporočila, da izvleče informacije, kot so naslov IP za povezavo, protokol za uporabo in sporočilo za prenos. To pomeni, da lahko deluje kot proxy prek TCP ali UDP in preusmerja promet prek okuženega gostitelja.

Glede na informacije, ki so jih posredovali raziskovalci, je mogoče zlonamerno programsko opremo Trojan-Proxy izslediti že od 28. aprila 2023. Da bi se izognili takšnim grožnjam, uporabnikom močno svetujemo, da poskušajo ne prenašati programske opreme iz nezaupljivih virov.

Trojanske grožnje je mogoče programirati za izvajanje širokega nabora nevarnih dejanj

Trojanska zlonamerna programska oprema zaradi svoje goljufive in večplastne narave predstavlja raznolik nabor tveganj za uporabnike. Uporabnikom močno svetujemo, da na svojih napravah izvajajo celovit varnostni pristop, sicer tvegajo znatne posledice v primeru okužbe s trojancem:

• Prikrito koristno breme : Trojanci se preoblečejo v zakonito programsko opremo ali datoteke in zavedejo uporabnike, da nehote namestijo zlonamerno kodo. Skriti koristni tovori lahko vključujejo izsiljevalsko programsko opremo, vohunsko programsko opremo, zapisovalnike tipk ali druge vrste destruktivne programske opreme.
• Kraja podatkov : Trojanci si pogosto prizadevajo zbrati določene informacije, vključno s poverilnicami za prijavo, finančnimi podatki ali osebnimi podatki. Te zbrane podatke je mogoče izkoristiti za različne nevarne namene, vključno s krajo identitete, finančnimi goljufijami ali nepooblaščenim dostopom do občutljivih računov.
• Oddaljeni dostop : Nekateri trojanci so zasnovani tako, da napadalcu omogočijo nepooblaščen dostop na daljavo. Ko je trojanec nameščen, napadalec pridobi nadzor nad okuženim sistemom, kar mu omogoča, da manipulira z datotekami, namesti dodatno zlonamerno programsko opremo ali celo uporabi ogroženo napravo v večjih napadih.
• Oblikovanje botnetov : Trojanci lahko prispevajo k ustvarjanju botnetov. Botneti so omrežja spremenjenih računalnikov, ki jih nadzoruje en sam subjekt. Te botnete je mogoče uporabiti za različne nevarne dejavnosti, kot je zagon napadov DDoS (Distributed Denial-of-Service), širjenje neželene pošte ali sodelovanje v drugih usklajenih kibernetskih grožnjah.
• Sistemska škoda : Trojanci so lahko programirani tako, da povzročijo neposredno škodo uporabnikovemu sistemu z brisanjem datotek, spreminjanjem nastavitev ali onemogočanjem delovanja sistema. To lahko povzroči znatno izgubo podatkov in moti običajne računalniške dejavnosti.
• Storitve proxy : nekateri trojanci delujejo kot strežniki proxy, ki napadalcem omogočajo usmerjanje njihovega internetnega prometa skozi okuženi sistem. To je mogoče izkoristiti za izvajanje zlonamernih dejavnosti, hkrati pa skriti pravi vir napadov, zaradi česar je oblastem težko izslediti izvor.
• Širjenje druge zlonamerne programske opreme : Trojanci pogosto služijo kot sredstva za dostavo drugih vrst zlonamerne programske opreme. Ko so v sistemu, lahko prenesejo in namestijo dodatno zlonamerno programsko opremo, kar poveča grožnje, s katerimi se sooča uporabnik.

Da bi zmanjšali tveganja, povezana s trojansko zlonamerno programsko opremo, uporabnikom svetujemo, da uporabljajo robustne prakse kibernetske varnosti, vključno z uporabo ugledne programske opreme za zaščito pred zlonamerno programsko opremo, rednimi posodobitvami sistema in previdnostjo pri prenašanju datotek ali klikanju povezav, zlasti iz nezaupljivih virov.