Los actores de amenazas están aprovechando el acceso a máquinas Windows y macOS infectadas con malware para entregar una aplicación de servidor proxy y usarlas como nodos de salida para redirigir las solicitudes de proxy.
Según AT&T Alien Labs, la compañía no identificada que ofrece el servicio de proxy opera más de 400,000 nodos de salida de proxy, aunque no está claro de inmediato cuántos de ellos fueron cooptados por malware instalado en máquinas infectadas sin el conocimiento e interacción del usuario.
“Aunque el sitio web del proxy afirma que sus nodos de salida provienen solo de usuarios que han sido informados y aceptaron el uso de su dispositivo”, la empresa de ciberseguridad dicho encontró evidencia donde “los creadores de malware están instalando el proxy silenciosamente en los sistemas infectados”.
Se han observado varias familias de malware que entregan el proxy a los usuarios que buscan software y juegos descifrados. El software proxy, escrito en el lenguaje de programación Go, es capaz de apuntar tanto a Windows como a macOS, y el primero es capaz de evadir la detección mediante el uso de una firma digital válida.
Además de recibir más instrucciones de un servidor remoto, el proxy está configurado para recopilar información sobre los sistemas pirateados, incluidos los procesos en ejecución, la utilización de la CPU y la memoria, y el estado de la batería. Además, la instalación del software proxy va acompañada de la implementación de elementos adicionales de malware o adware.
“La monetización de servidores proxy que propagan malware a través de un programa de afiliados es problemática, ya que crea una estructura formal para aumentar la velocidad a la que se propagará esta amenaza”, dijo el investigador de seguridad Ofer Caspi.
La revelación se basa hallazgos previos de AT&T en el que las máquinas macOS comprometidas por el adware AdLoad están siendo acorraladas en una red de bots proxy residencial gigante, lo que aumenta la posibilidad de que los operadores de AdLoad puedan estar ejecutando una campaña de pago por instalación.
AdLoad es una de las cepas de adware conocidas más grandes dirigidas a macOs. Conocido por hacerse pasar por reproductores de video populares y otras aplicaciones ampliamente utilizadas, Adload secuestra navegadores y obliga a las víctimas a visitar sitios web potencialmente maliciosos, lo que permite que los ciberdelincuentes se beneficien de los esquemas.
“La naturaleza omnipresente de AdLoad que potencialmente infecta a miles de dispositivos en todo el mundo indica que los usuarios de dispositivos MacOS son un objetivo lucrativo para los adversarios detrás de este malware y están siendo engañados para descargar e instalar aplicaciones no deseadas”, dijo la compañía.
“El aumento del malware que ofrece aplicaciones de proxy como una inversión lucrativa, facilitada por los programas de afiliados, destaca la naturaleza astuta de las tácticas de los adversarios. Estos proxies, instalados de forma encubierta a través de ofertas atractivas o software comprometido, sirven como canales para obtener ganancias financieras no autorizadas”.
El desarrollo se produce cuando los sistemas macOS se han convertido cada vez más en un objetivo preciado, y la web oscura es testigo de un aumento del 1000 % en los actores de amenazas que anuncian cepas de ladrones de información y herramientas sofisticadas que pueden eludir las funciones de seguridad de macOS, a saber, Gatekeeper y Transparency, Consent and Control (TCC) desde 2019.
“En 2022 y la primera mitad de 2023, la actividad dirigida a macOS se ha intensificado”, Accenture dicho en un informe publicado este mes.
“Una combinación del uso cada vez mayor de macOS en entornos corporativos, las altas ganancias potenciales de los actores de amenazas dispuestos y capaces de atacar a macOS y la creciente demanda de herramientas y productos de macOS sugieren que esta tendencia continuará”.
La compañía rumana de ciberseguridad Bitdefender, en su propio Informe de panorama de amenazas de macOS, dijo que los usuarios de Mac fueron atacados predominantemente por tres amenazas clave en el último año: troyanos (51,8%), aplicaciones potencialmente no deseadas (25,3%) y adware (22,6%).
“EvilQuest sigue siendo la pieza de malware más común dirigida a Mac con un 52,7 %”, dice. anotado. “Los troyanos diseñados para explotar vulnerabilidades sin parches presentan un peligro real para los usuarios que normalmente posponen la instalación de los últimos parches de seguridad de Apple”.
About the Author
