05.12.2023 | Лаборатория Касперского: прокси-вирус превращает Mac в инструмент нелегального трафика |
Лаборатория Касперского сообщает, что киберпреступники развернули новую кампанию против пользователей Mac, используя прокси-троян , который распространяется через защищенные авторским правом популярные программы для macOS , доступные на вредоносных сайтах. Прокси-троян превращает компьютеры в терминалы переадресации трафика, которые используются для анонимизации вредоносных или незаконных действий, таких как взлом, фишинг и транзакции с незаконными товарами. Подобная деятельность, связанная с продажей доступа к прокси-серверам, породила крупные ботнеты. Причем, как подчеркивает Лаборатория Касперского, устройства Mac также оказались в числе пострадавших. Обнаруженная кампания, первое упоминание о которой появилось 28 апреля 2023 года, эксплуатирует стремление пользователей сэкономить на покупке лицензионного ПО. Лаборатория Касперского обнаружила 35 заражённых программ, среди которых популярные инструменты для редактирования изображений, видео, восстановления данных и сетевого сканирования. Важно отметить, что в отличие от оригинальных программ, распространяемых в виде образов дисков, зараженные версии предлагаются в формате PKG. Этот формат представляет собой большую опасность, поскольку позволяет выполнять скрипты во время установки, что может привести к несанкционированному доступу и изменениям в системе. Особенно опасно, что такие скрипты, как и файлы установщика, запускаются с правами администратора. Доступ такого уровня позволяет злоумышленнику проводить вредоносные действия, включая изменения файлов, автозапуск файлов и выполнение команд. После установки зараженной программы активируется троян, который маскируется под процесс WindowServer – легитимный системный процесс macOS. Такое действие позволяет трояну оставаться незаметным, интегрируясь в рутинные операции системы. Запускаемый файл «GoogleHelperUpdater.plist», имитирующий файл конфигурации Google, также способствует скрытности вируса. После активации троян устанавливает связь со своим сервером управления и контроля (Command and Control, C2 ) через DNS-over-HTTPS ( DoH ), получая команды для своей работы. Анализ Лаборатории Касперского показал, что вирус может создавать TCP или UDP соединения, обеспечивая проксирование трафика. Помимо кампании macOS с использованием PKG, в одной и той же инфраструктуре управления размещаются прокси-трояны для архитектур Android и Windows, поэтому одни и те же операторы, вероятно, нацелены на широкий спектр систем. |
Проверить безопасность сайта