Új malware kalózszoftvereken keresztül célozza a Mac felhasználókat

A kiberbűnözők a Mac felhasználókat célozzák meg egy új proxy trójai kártevővel, amelyet népszerű, szerzői jogvédett macOS szoftverekkel együtt kínálnak warez oldalakon.

A kártevő megfertőzi a számítógépeket, és forgalom továbbító terminálokká alakítja őket, amelyeket rosszindulatú vagy illegális tevékenységek, például hackelés, adathalászat és tiltott árukkal kapcsolatos tranzakciók anonimizálására használnak.

A proxykhoz való hozzáférés értékesítése jövedelmező üzlet, amely hatalmas botneteket szül, és a Mac eszközök sem maradtak ki ebből a széles körben elterjedt tevékenységből.

A legújabb kártékony programot terjesztő kampányt a Kaspersky fedezte fel, a payload legkorábbi beküldése a VirusTotalon 2023. április 28-án történt. A kampány kihasználja, hogy az emberek hajlandóak kockáztatni számítógépük biztonságát, hogy elkerüljék a fizetést a prémium alkalmazásokért.

35 darab, a kereskedelmi szoftverek ingyenes verzióit kereső felhasználókat csalogató, képszerkesztő, videotömörítő és szerkesztő, adat visszaállító és hálózati kereső eszközt találtak proxy trójai programmal megspékelve. A kampányban érintett szoftverek közül a legnépszerűbbek a következők:

    • 4K Video Donwloader Pro
    • Aissessoft Mac Data Recovery
    • Aiseesoft Mac Video Converter Ultimate
    • AnyMP4 Android Data Recovery for Mac
    • Downie 4
    • FonePaw Data Recovery
    • Sketch
    • Wondershare UniConverter 13
    • SQLPro Studio
    • Artstudio Pro

A Kaspersky szerint a lemezképként terjesztésre kerülő legális szoftverekkel ellentétben, a trójai változatokat PKG fájlként tölthetik le. A PKG fájlok sokkal kockázatosabbak, mivel az alkalmazás telepítése során scripteket hajthatnak végre.

Mivel a telepítőfájlok rendszergazdai jogokkal kerülnek végrehajtásra, az általuk végrehajtott scriptek ugyanilyen jogosultságokat kapnak (például fájlmódosítás, fájl automatikus indítása,  parancsok végrehajtása). Ebben az esetben a beágyazott scriptek a program telepítése után aktiválódnak, futtatnak egy WindowServer nevű fájlt, és rendszerfolyamatnak tüntetik fel.

A WindowServer egy legitim rendszerfolyamat a macOS-ben, amely a grafikus felhasználói felület kezeléséért felelős. A trójai célja, hogy elvegyüljön a rendszer rutinműveleteiben, és elkerülje a felhasználói ellenőrzést.

A WindowServer indítását a “GoogleHelperUpdater.plist” végzi, amely egy Google konfigurációs fájlt utánoz, ismét azzal a céllal, hogy a felhasználó ne vegye észre.

Indításkor a trójai DNS-over-HTTPS-en (DoH) keresztül csatlakozik a C2 (command and control) szerverhez, hogy a működésével kapcsolatos parancsokat kapjon.

A Kaspersky nem tudta megfigyelni ezeket a parancsokat működés közben, de az elemzés révén arra következtetett, hogy a kliens támogatja a TCP- vagy UDP-kapcsolatok létrehozását a proxyzás megkönnyítése érdekében.

A PKG-ket használó macOS kampány mellett ugyanaz a C2-infrastruktúra tartalmaz proxy-trójai payload-ot Android és Windows architektúrákhoz is, így valószínűleg az üzemeltetők a rendszerek széles körét célozzák meg.

(bleepingcomputer.com)