Proxy Trojan riktar sig till macOS-användare för trafikomdirigering

En sofistikerad proxy-trojan som är inriktad på macOS har upptäckts och distribueras genom piratkopierade versioner av äkta affärsprogramvara, inklusive redigeringsverktyg, programvara för dataåterställning och applikationer för nätverksskanning.

Trojanen fungerar genom att maskera sig som ett legitimt program under installationen och sedan skapa en dold proxyserver i användarens system, enligt en Kaspersky rapport Denna vecka. Denna hemliga server gör det möjligt för hotaktörer att upprätthålla en bakdörr på systemet men också omdirigera nätverkstrafik genom den komprometterade enheten.

Sergey Puzan, cybersäkerhetsexpert på Kaspersky, förklarar att närvaron av en sådan proxy-trojan kan få konsekvenser av olika svårighetsgrad för offren. Till exempel, om proxyn används för att dirigera trafiken för andra användare, kanske av skrupelfria VPN, som kan belasta användarens nätverk avsevärt, och därigenom sakta ner dess drift eller använda upp en viss trafikgräns.

Andra möjliga scenarier kan se att illvilliga aktörer använder offrens datorer för att öka annonsvisningarna; organisera ett botnät för ytterligare DDoS-attacker på olika webbplatser, organisationer eller andra användare; eller för olagliga aktiviteter, som att köpa vapen, droger eller distribuera skadlig information eller andra skadliga program.

I fallet med illegala aktiviteter på Internet finns det betydande direkta risker för användaren, eftersom en sådan åtgärd kommer att utföras från användarens IP-adress – och det betyder på användarens vägnar.

Använder DoH för att blanda in

På den tekniska fronten noterade Kasperskys rapport att förutom macOS-versionen upptäcktes exemplar för Android och Windows kopplade till samma kommando-och-kontroll-server (C2). För alla tre framhöll forskarna användningen av DNS-over-HTTPS (DoH) för att dölja C2-kommunikation från trafikövervakningsverktyg.

Specifikt kan DoH tillåta den att kringgå primitiva säkerhetslösningar baserade endast på analys av DNS-förfrågningar, eftersom begäran kommer att se ut som en vanlig HTTPS-förfrågan till en server som implementerar DoH.

"Den huvudsakliga skyddsstrategin för vanliga användare kommer naturligtvis att vara att installera en säkerhetslösning, som ett antivirus med nätverkstrafikanalysfunktioner", säger Puzan. "Det räcker att övervaka trafikrörelsen och förändringar i filsystemet."

Han tillägger, "I det här fallet kan du lägga till IP-adressen för C2-servern till den svarta listan, då kommer trojanen inte att kunna ansluta till servern och du kommer omedelbart att upptäcka dess närvaro i systemet."

Proxyn sprids också via knäckta applikationer från obehöriga webbplatser, inriktad på användare som söker gratis programvaruverktyg och utsätter dem för potentiella skadliga installationer - så ett enkelt sätt att undvika infektion är att undvika att ladda ner piratkopierad programvara.

Mac-användare: Konstanta mål för botnät

Ken Dunham, chef för cyberhot på Qualys, noterar att Mac-användare kan ha en felaktig uppfattning om att de inte är i sikte på cyberbrottslingar, men det är tvärtom.

Till exempel har Apple-fans länge varit måltavla av botnätsaktörer, på grund av Mac-lagret för användare och BSD-kodbaslager under, som tyst kan missbrukas av skadliga användare som äventyrar en slutpunkt.

"I flera år har många Mac-användare känt sig osårbara för attacker, på grund av den stora mängden attacker som setts i Windows-världen," förklarar Dunham. "Medan attackytan för Windows är klart mycket större, är alla operativsystem och mjukvaruattackytor under attack 2023, där angripare inte lämnar stenen ovänd."  

Specifika datapunkter bekräftar detta: I oktober, Accenture publicerade en rapport avslöjar en tiofaldig ökning av Dark Web-hotaktörer som inriktar sig på macOS sedan 2019 – med trenden som sannolikt kommer att fortsätta.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/vulnerabilities-threats/proxy-trojan-targets-macos-users-traffic-redirection