Trojanski proxy cilja na uporabnike macOS za preusmerjanje prometa

Odkrit je bil sofisticiran posredniški trojanec, ki cilja na macOS, in se distribuira prek piratskih različic pristne poslovne programske opreme, vključno z orodji za urejanje, programsko opremo za obnovitev podatkov in aplikacijami za skeniranje omrežja.

Trojanec deluje tako, da se med namestitvijo zamaskira kot zakonit program, nato pa v uporabnikovem sistemu ustvari skriti strežnik proxy, glede na Kaspersky poročilo ta teden. Ta skriti strežnik akterjem groženj omogoča, da ohranijo stranska vrata v sistemu, hkrati pa preusmerijo omrežni promet prek ogrožene naprave.

Sergey Puzan, strokovnjak za kibernetsko varnost pri družbi Kaspersky, pojasnjuje, da ima lahko prisotnost takšnega proxy trojanca za žrtve različno resne posledice. Na primer, če se proxy uporablja za usmerjanje prometa drugih uporabnikov, morda s strani brezvestnih navideznih zasebnih omrežij, lahko to precej obremeni uporabnikovo omrežje in s tem upočasni njegovo delovanje ali porabi morebitno nastavljeno omejitev prometa.

Drugi možni scenariji bi lahko videli zlonamerne akterje, ki uporabljajo računalnike žrtev za povečanje ogledov oglasov; organiziranje botneta z namenom nadaljnjih DDoS napadov na različne strani, organizacije ali druge uporabnike; ali za nezakonite dejavnosti, kot je nakup orožja, mamil ali distribucija zlonamernih informacij ali drugih zlonamernih programov.

V primeru nezakonitih dejavnosti na internetu obstajajo velika neposredna tveganja za uporabnika, saj bo vsako takšno dejanje izvedeno z uporabnikovega IP naslova — to pomeni v njegovem imenu.

Uporaba DoH za mešanje

Na tehničnem področju je poročilo družbe Kaspersky zapisalo, da so poleg različice macOS odkrili primerke za Android in Windows, povezane z istim strežnikom za ukaze in nadzor (C2). Pri vseh treh so raziskovalci poudarili uporabo DNS-over-HTTPS (DoH) za prikrivanje komunikacij C2 pred orodji za spremljanje prometa.

Natančneje, DoH lahko dovoli, da obide primitivne varnostne rešitve, ki temeljijo samo na analizi zahtev DNS, saj bo zahteva videti kot običajna zahteva HTTPS do strežnika, ki izvaja DoH.

»Glavna zaščitna strategija za navadne uporabnike bo seveda namestitev varnostne rešitve, kot je protivirusni program s funkcijami analize omrežnega prometa,« pravi Puzan. "Dovolj je, da spremljamo gibanje prometa in spremembe v datotečnem sistemu."

Dodal je: "V tem primeru lahko naslov IP strežnika C2 dodate na črni seznam, potem se trojanec ne bo mogel povezati s strežnikom in takoj boste zaznali njegovo prisotnost v sistemu."

Proxy se širi tudi prek zlomljenih aplikacij z nepooblaščenih spletnih mest, ciljajoč na uporabnike, ki iščejo brezplačna programska orodja in jih izpostavljajo morebitnim namestitvam zlonamerne programske opreme – zato je preprost način, da se izognete okužbi, ta, da se izognete nalaganju piratske programske opreme.

Uporabniki Mac: Stalne tarče za botnete

Ken Dunham, direktor oddelka za kibernetske grožnje pri Qualys, ugotavlja, da imajo uporabniki računalnikov Mac morda napačno predstavo, da niso v središču pozornosti kibernetskih kriminalcev, vendar je res nasprotno.

Na primer, Applovi oboževalci dolgo tarča akterji botnetov, zaradi sloja Mac za uporabnike in plast kodne baze BSD pod, ki ga je mogoče tiho zlorabljati zlonamerne uporabnike ki ogrožajo končno točko.

»Mnogi uporabniki računalnikov Mac so se več let počutili neranljive za napade zaradi velike količine napadov v svetu Windows,« pojasnjuje Dunham. "Medtem ko je površina za napade operacijskega sistema Windows očitno veliko večja, so leta 2023 napadeni vsi operacijski sistemi in površine za napade programske opreme, kjer napadalci ne pustijo kamna neprevrnjenega."  

To potrjujejo posebni podatki: oktobra, Accenture je objavil poročilo razkriva desetkratno povečanje akterjev groženj temnega spleta, ki ciljajo na macOS od leta 2019 – in trend se bo verjetno nadaljeval.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/vulnerabilities-threats/proxy-trojan-targets-macos-users-traffic-redirection