Шкідливе програмне забезпечення Trojan-Proxy

Виявлено, що шахрайські веб-сайти, що працюють як платформи для піратського програмного забезпечення, є основним джерелом троянських програм, які заражають користувачів macOS новою шкідливою програмою Trojan-Proxy. Це зловмисне програмне забезпечення дозволяє зловмисникам отримувати прибуток, створюючи мережу проксі-серверів або беручи участь у незаконній діяльності від імені жертви. Такі дії можуть включати напади на веб-сайти, компанії та окремих осіб, а також придбання вогнепальної зброї, наркотиків та інших незаконних предметів.

Фахівці з кібербезпеки знайшли докази того, що це шкідливе програмне забезпечення є кросплатформною загрозою. Це підтверджується артефактами, виявленими для систем Windows і Android, які були пов’язані з піратськими інструментами.

Зловмисне програмне забезпечення Trojan-Proxy здатне заражати пристрої macOS

Варіанти кампанії для macOS поширюються, маскуючись під законні інструменти мультимедіа, редагування зображень, відновлення даних і підвищення продуктивності. Це вказує на те, що люди, які шукають піратське програмне забезпечення, стають центром атаки. На відміну від своїх справжніх аналогів, які розповсюджуються як файли образу диска (.DMG), підроблені версії постачаються як інсталятори .PKG. Ці інсталятори включають сценарій після інсталяції, який запускає зловмисну діяльність після процесу інсталяції. Оскільки інсталятори зазвичай вимагають дозволів адміністратора, запущений сценарій успадковує ці дозволи.

Кінцева мета кампанії полягає в тому, щоб звільнити Trojan-Proxy, який маскується під процес WindowServer у macOS, щоб уникнути виявлення. WindowServer служить основним системним процесом, відповідальним за керування Windows і відтворення графічного інтерфейсу користувача (GUI) програм.

Trojan-Proxy непомітно чекає вказівок від зловмисників

Після запуску на скомпрометованому пристрої зловмисне програмне забезпечення намагається отримати IP-адресу сервера командування та керування (C2) для підключення через DNS через HTTPS (DoH). Це досягається шляхом шифрування DNS-запитів і відповідей за допомогою протоколу HTTPS.

Згодом Trojan-Proxy встановлює зв'язок із сервером C2, очікуючи подальших інструкцій. Він обробляє вхідні повідомлення, щоб отримати таку інформацію, як IP-адреса для підключення, протокол, який потрібно використовувати, і повідомлення для передачі. Це означає його здатність працювати як проксі через TCP або UDP, перенаправляючи трафік через заражений хост.

Згідно з інформацією, наданою дослідниками, зловмисне програмне забезпечення Trojan-Proxy можна відстежити ще 28 квітня 2023 року. Щоб протистояти таким загрозам, користувачам наполегливо рекомендується намагатися не завантажувати програмне забезпечення з ненадійних джерел.

Троянські загрози можуть бути запрограмовані на виконання широкого спектру небезпечних дій

Зловмисне троянське програмне забезпечення створює різноманітні ризики для користувачів через свою оманливу та багатогранну природу. Користувачам настійно рекомендується застосувати комплексний підхід до безпеки на своїх пристроях, інакше ви ризикуєте отримати значні наслідки в разі зараження троянською програмою:

• Приховане корисне навантаження : трояни маскуються під законне програмне забезпечення або файли, обманом змушуючи користувачів мимоволі встановити шкідливий код. Приховане корисне навантаження може включати програмне забезпечення-вимагач, шпигунське програмне забезпечення, клавіатурні шпигуни або інші види деструктивного програмного забезпечення.
• Крадіжка даних : трояни часто прагнуть зібрати певну інформацію, включаючи облікові дані для входу, фінансові дані або особисті дані. Ця зібрана інформація може бути використана для різних небезпечних цілей, включаючи крадіжку особистих даних, фінансове шахрайство або несанкціонований доступ до конфіденційних облікових записів.
• Віддалений доступ : деякі трояни призначені для надання зловмиснику несанкціонованого віддаленого доступу. Після розгортання трояна зловмисник отримує контроль над зараженою системою, що дозволяє йому маніпулювати файлами, встановлювати додаткове шкідливе програмне забезпечення або навіть використовувати скомпрометований пристрій у більш масштабних атаках.
• Створення ботнетів : Трояни можуть сприяти створенню ботнетів. Ботнети – це мережі підроблених комп’ютерів, які контролюються однією організацією. Ці бот-мережі можна використовувати для різних небезпечних дій, таких як запуск розподілених DDoS-атак, розповсюдження спаму або участь в інших скоординованих кіберзагрозах.
• Пошкодження системи : трояни можуть бути запрограмовані на завдання прямої шкоди системі користувача шляхом видалення файлів, зміни налаштувань або виведення системи з ладу. Це може призвести до значної втрати даних і порушити нормальну обчислювальну діяльність.
• Проксі-сервіси : певні трояни функціонують як проксі-сервери, дозволяючи зловмисникам направляти свій інтернет-трафік через заражену систему. Це можна використати для здійснення зловмисних дій, приховуючи справжнє джерело атак, через що владі буде складно відстежити походження.
• Розповсюдження іншого зловмисного програмного забезпечення : трояни часто служать транспортними засобами для доставки інших типів зловмисного програмного забезпечення. Потрапивши в систему, вони можуть завантажити та встановити додаткове шкідливе програмне забезпечення, посилюючи загрози, з якими стикається користувач.

Щоб пом’якшити ризики, пов’язані зі зловмисним програмним забезпеченням трояна, користувачам рекомендується застосовувати надійні методи кібербезпеки, включаючи використання надійного програмного забезпечення для захисту від зловмисного програмного забезпечення, регулярні оновлення системи та бути обережними під час завантаження файлів або натискання посилань, особливо з ненадійних джерел.