Modern technology gives us many things.

Νέο κακόβουλο λογισμικό μεσολάβησης στοχεύει χρήστες Mac μέσω πειρατικού λογισμικού


Οι εγκληματίες του κυβερνοχώρου στοχεύουν χρήστες Mac με ένα νέο κακόβουλο λογισμικό trojan proxy συνοδεύεται από δημοφιλές λογισμικό macOS που προστατεύεται από πνευματικά δικαιώματα που προσφέρεται σε ιστότοπους warez.

Το κακόβουλο λογισμικό μεσολάβησης trojan μολύνει υπολογιστές, μετατρέποντάς τους σε τερματικά προώθησης κυκλοφορίας που χρησιμοποιούνται για την ανωνυμοποίηση κακόβουλων ή παράνομων δραστηριοτήτων όπως η εισβολή, το ηλεκτρονικό ψάρεμα και οι συναλλαγές για παράνομα αγαθά.

Η πώληση πρόσβασης σε πληρεξούσιους είναι μια κερδοφόρα επιχείρηση που έχει γεννήσει τεράστια botnets, με συσκευές Mac μη γλυτώνοντας από αυτή την ευρεία δραστηριότητα.

Η τελευταία καμπάνια που ωθεί κακόβουλο λογισμικό μεσολάβησης ανακαλύφθηκε από Kasperskyτο οποίο αναφέρει ότι η παλαιότερη υποβολή του ωφέλιμου φορτίου στο VirusTotal χρονολογείται στις 28 Απριλίου 2023.

Συνοδεύεται από δημοφιλή warez

Η καμπάνια εκμεταλλεύεται την προθυμία των ανθρώπων να διακινδυνεύσουν την ασφάλεια του τους για να αποφύγουν να πληρώσουν για premium εφαρμογές.

Η Kaspersky βρήκε 35 εργαλεία επεξεργασίας εικόνων, συμπίεσης και επεξεργασίας βίντεο, ανάκτησης δεδομένων και δικτυακής σάρωσης με το proxy trojan για να δολώσουν χρήστες που αναζητούν δωρεάν εκδόσεις εμπορικού λογισμικού.

Τα πιο δημοφιλή από τα trojanized λογισμικό σε αυτήν την καμπάνια είναι:

  • 4K Donwloader Pro
  • Aissessoft Mac Data Recovery
  • Aiseesoft Mac Video Converter Ultimate
  • AnyMP4 Data Recovery για Mac
  • Downie 4
  • Ανάκτηση δεδομένων FonePaw
  • Σκίτσο
  • Wondershare UniConverter 13
  • SQLPro Studio
  • Artstudio Pro

Η Kaspersky λέει ότι σε αντίθεση με το νόμιμο λογισμικό, το οποίο διανέμεται ως εικόνες δίσκου, οι trojanized εκδόσεις μεταφορτώνονται ως αρχεία PKG.

Σε σύγκριση με τα αρχεία εικόνας δίσκου, τα οποία είναι το τυπικό μέσο εγκατάστασης για αυτά τα προγράμματα, τα αρχεία PKG είναι πολύ πιο επικίνδυνα καθώς μπορούν να εκτελέσουν σενάρια κατά την εγκατάσταση της εφαρμογής.

Επειδή τα αρχεία εγκατάστασης εκτελούνται με δικαιώματα διαχειριστή, οποιαδήποτε σενάρια εκτελούν αποκτούν τα ίδια δικαιώματα κατά την εκτέλεση επικίνδυνων ενεργειών, συμπεριλαμβανομένης της τροποποίησης αρχείου, της αυτόματης εκτέλεσης αρχείων και της εκτέλεσης εντολών.

Σε αυτήν την περίπτωση, τα ενσωματωμένα σενάρια ενεργοποιούνται μετά την εγκατάσταση του προγράμματος για να εκτελεστεί ο trojan, ένα αρχείο WindowServer, και να εμφανιστεί ως διαδικασία συστήματος.

Κακόβουλο σενάριο που εκτελείται μετά την εγκατάσταση του προγράμματος
Κακόβουλο σενάριο που εκτελείται μετά την εγκατάσταση του προγράμματος (Kaspersky)

Ο WindowServer είναι μια νόμιμη διαδικασία συστήματος στο macOS που είναι υπεύθυνη για τη διαχείριση της γραφικής διεπαφής χρήστη, επομένως ο trojan στοχεύει να συνδυάζεται με τις συνήθεις λειτουργίες του συστήματος και να αποφεύγει τον έλεγχο του χρήστη.

Το αρχείο που επιφορτίζεται με την εκκίνηση του WindowServer κατά την εκκίνηση του λειτουργικού συστήματος ονομάζεται “GoogleHelperUpdater.plist”, μιμούμενο και πάλι ένα αρχείο διαμόρφωσης της Google, με στόχο να αγνοηθεί από τον χρήστη.

Κατά την εκκίνηση, ο trojan συνδέεται με τον διακομιστή C2 (εντολή και έλεγχος) μέσω DNS-over- (DoH) για να λάβει εντολές που σχετίζονται με τη λειτουργία του.

Η Kaspersky δεν μπόρεσε να παρατηρήσει αυτές τις εντολές στην πράξη, αλλά μέσω ανάλυσης, συμπέρανε ότι ο πελάτης υποστηρίζει τη δημιουργία συνδέσεων TCP ή UDP για τη διευκόλυνση του διακομιστή μεσολάβησης.

Εκτός από την καμπάνια macOS που χρησιμοποιεί PKG, η ίδια υποδομή C2 φιλοξενεί ωφέλιμα φορτία trojan μεσολάβησης για αρχιτεκτονικές Android και Windows, επομένως οι ίδιοι χειριστές πιθανώς στοχεύουν ένα ευρύ φάσμα συστημάτων.



VIA: bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση