Se ha descubierto que los sitios web no autorizados que distribuyen versiones troyanizadas de software descifrado infectan a los usuarios de Apple macOS con una nueva Proxy troyano malware.
«Los atacantes pueden utilizar este tipo de malware para ganar dinero construyendo una red de servidores proxy o para realizar actos delictivos en nombre de la víctima: lanzar ataques a sitios web, empresas e individuos, comprar armas, drogas y otros bienes ilícitos», Kaspersky investigador de seguridad Sergey Puzan dicho.
La firma rusa de ciberseguridad dijo que encontró evidencia que indica que el malware es una amenaza multiplataforma, debido a artefactos descubiertos para Windows y Android que se aprovechaban de herramientas pirateadas.
Las variantes de macOS se propagan bajo la apariencia de herramientas multimedia, de edición de imágenes, de recuperación de datos y de productividad legítimas. Esto sugiere que los usuarios que buscan software pirateado son el objetivo de la campaña.
Descifrando el código: aprenda cómo los ciberatacantes explotan la psicología humana
¿Alguna vez te has preguntado por qué la ingeniería social es tan eficaz? Profundice en la psicología de los ciberatacantes en nuestro próximo seminario web.
A diferencia de sus contrapartes genuinas e inalteradas, que se ofrecen como archivos de imagen de disco (.DMG), las versiones fraudulentas se entregan en forma de instaladores .PKG, que vienen equipados con un script posterior a la instalación que activa el comportamiento malicioso después de la instalación.
«Como un instalador a menudo solicita permisos de administrador para funcionar, el script ejecutado por el proceso de instalación los hereda», señaló Puzan.
El objetivo final de la campaña es lanzar el Trojan-Proxy, que se hace pasar por el proceso WindowServer en macOS para evadir la detección. WindowServer es un proceso del sistema central responsable de la gestión de ventanas y la representación de la interfaz gráfica de usuario (GUI) de las aplicaciones.
Al iniciar, intenta obtener la dirección IP del servidor de comando y control (C2) para conectarse a través de DNS sobre HTTPS (DoH) cifrando las solicitudes y respuestas de DNS mediante el protocolo HTTPS.
Posteriormente, Trojan-Proxy establece contacto con el servidor C2 y espera instrucciones adicionales, incluido el procesamiento de mensajes entrantes para analizar la dirección IP a la que conectarse, el protocolo a utilizar y el mensaje a enviar, lo que indica que su capacidad para actuar como proxy a través de TCP. o UDP para redirigir el tráfico a través del host infectado.
Kaspersky dijo que encontró muestras de malware cargadas en el motor de escaneo VirusTotal ya el 28 de abril de 2023. Para mitigar tales amenazas, se recomienda a los usuarios que eviten descargar software de fuentes no confiables.