A kiberbűnözők a Mac felhasználókat célozzák meg egy új proxy trójai kártevővel, amelyet népszerű, szerzői jogvédett macOS szoftverekkel együtt kínálnak warez oldalakon.
A kártevő megfertőzi a számítógépeket, és forgalom továbbító terminálokká alakítja őket, amelyeket rosszindulatú vagy illegális tevékenységek, például hackelés, adathalászat és tiltott árukkal kapcsolatos tranzakciók anonimizálására használnak.
A proxykhoz való hozzáférés értékesítése jövedelmező üzlet, amely hatalmas botneteket szül, és a Mac eszközök sem maradtak ki ebből a széles körben elterjedt tevékenységből.
A legújabb kártékony programot terjesztő kampányt a Kaspersky fedezte fel, a payload legkorábbi beküldése a VirusTotalon 2023. április 28-án történt. A kampány kihasználja, hogy az emberek hajlandóak kockáztatni számítógépük biztonságát, hogy elkerüljék a fizetést a prémium alkalmazásokért.
35 darab, a kereskedelmi szoftverek ingyenes verzióit kereső felhasználókat csalogató, képszerkesztő, videotömörítő és szerkesztő, adat visszaállító és hálózati kereső eszközt találtak proxy trójai programmal megspékelve. A kampányban érintett szoftverek közül a legnépszerűbbek a következők:
-
- 4K Video Donwloader Pro
- Aissessoft Mac Data Recovery
- Aiseesoft Mac Video Converter Ultimate
- AnyMP4 Android Data Recovery for Mac
- Downie 4
- FonePaw Data Recovery
- Sketch
- Wondershare UniConverter 13
- SQLPro Studio
- Artstudio Pro
A Kaspersky szerint a lemezképként terjesztésre kerülő legális szoftverekkel ellentétben, a trójai változatokat PKG fájlként tölthetik le. A PKG fájlok sokkal kockázatosabbak, mivel az alkalmazás telepítése során scripteket hajthatnak végre.
Mivel a telepítőfájlok rendszergazdai jogokkal kerülnek végrehajtásra, az általuk végrehajtott scriptek ugyanilyen jogosultságokat kapnak (például fájlmódosítás, fájl automatikus indítása, parancsok végrehajtása). Ebben az esetben a beágyazott scriptek a program telepítése után aktiválódnak, futtatnak egy WindowServer nevű fájlt, és rendszerfolyamatnak tüntetik fel.
A WindowServer egy legitim rendszerfolyamat a macOS-ben, amely a grafikus felhasználói felület kezeléséért felelős. A trójai célja, hogy elvegyüljön a rendszer rutinműveleteiben, és elkerülje a felhasználói ellenőrzést.
A WindowServer indítását a “GoogleHelperUpdater.plist” végzi, amely egy Google konfigurációs fájlt utánoz, ismét azzal a céllal, hogy a felhasználó ne vegye észre.
Indításkor a trójai DNS-over-HTTPS-en (DoH) keresztül csatlakozik a C2 (command and control) szerverhez, hogy a működésével kapcsolatos parancsokat kapjon.
A Kaspersky nem tudta megfigyelni ezeket a parancsokat működés közben, de az elemzés révén arra következtetett, hogy a kliens támogatja a TCP- vagy UDP-kapcsolatok létrehozását a proxyzás megkönnyítése érdekében.
A PKG-ket használó macOS kampány mellett ugyanaz a C2-infrastruktúra tartalmaz proxy-trójai payload-ot Android és Windows architektúrákhoz is, így valószínűleg az üzemeltetők a rendszerek széles körét célozzák meg.