Новости Лаборатория Касперского: прокси-вирус превращает Mac в инструмент нелегального трафика

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Скачивая пиратский софт, вы можете стать занавесом для закулисья киберпреступности.


w0mvf4xp31wn3s08ov903h1w75eaihfd.jpg


Лаборатория Касперского сообщает, что киберпреступники развернули Для просмотра ссылки Войди или Зарегистрируйся против пользователей Mac, используя прокси-троян , который распространяется через защищенные авторским правом популярные программы для macOS , доступные на вредоносных сайтах. Прокси-троян превращает компьютеры в терминалы переадресации трафика, которые используются для анонимизации вредоносных или незаконных действий, таких как взлом, фишинг и транзакции с незаконными товарами.

Подобная деятельность, связанная с продажей доступа к прокси-серверам, породила крупные ботнеты. Причем, как подчеркивает Лаборатория Касперского, устройства Mac также оказались в числе пострадавших. Обнаруженная кампания, первое упоминание о которой появилось 28 апреля 2023 года, эксплуатирует стремление пользователей сэкономить на покупке лицензионного ПО.

Лаборатория Касперского Для просмотра ссылки Войди или Зарегистрируйся 35 заражённых программ, среди которых популярные инструменты для редактирования изображений, видео, восстановления данных и сетевого сканирования.

Важно отметить, что в отличие от оригинальных программ, распространяемых в виде образов дисков, зараженные версии предлагаются в формате PKG. Этот формат представляет собой большую опасность, поскольку позволяет выполнять скрипты во время установки, что может привести к несанкционированному доступу и изменениям в системе.

Особенно опасно, что такие скрипты, как и файлы установщика, запускаются с правами администратора. Доступ такого уровня позволяет злоумышленнику проводить вредоносные действия, включая изменения файлов, автозапуск файлов и выполнение команд.

После установки зараженной программы активируется троян, который маскируется под процесс WindowServer – легитимный системный процесс macOS. Такое действие позволяет трояну оставаться незаметным, интегрируясь в рутинные операции системы.

Запускаемый файл «GoogleHelperUpdater.plist», имитирующий файл конфигурации Google, также способствует скрытности вируса. После активации троян устанавливает связь со своим сервером управления и контроля (Command and Control, C2 ) через DNS-over-HTTPS ( DoH ), получая команды для своей работы. Анализ Лаборатории Касперского показал, что вирус может создавать TCP или UDP соединения, обеспечивая проксирование трафика.

Помимо кампании macOS с использованием PKG, в одной и той же инфраструктуре управления размещаются прокси-трояны для архитектур Android и Windows, поэтому одни и те же операторы, вероятно, нацелены на широкий спектр систем.
 
Источник новости
www.securitylab.ru

Похожие темы