Il a été constaté que des sites Web non autorisés distribuant des versions trojanisées de logiciels piratés infectaient les utilisateurs d’Apple macOS avec un nouveau virus. Cheval de Troie-Proxy malware.
« Les attaquants peuvent utiliser ce type de malware pour gagner de l’argent en construisant un réseau de serveurs proxy ou pour commettre des actes criminels au nom de la victime : lancer des attaques sur des sites Web, des entreprises et des particuliers, acheter des armes, de la drogue et d’autres biens illicites », Kaspersky chercheur en sécurité Sergey Puzan dit.
La société russe de cybersécurité a déclaré avoir trouvé des preuves indiquant que le malware est une menace multiplateforme, en raison d’artefacts découverts pour Windows et Android qui s’appuient sur des outils piratés.
Les variantes de macOS se propagent sous le couvert d’outils légitimes de multimédia, d’édition d’images, de récupération de données et de productivité. Cela suggère que les utilisateurs recherchant des logiciels piratés sont les cibles de la campagne.
Déchiffrer le code : découvrez comment les cyberattaquants exploitent la psychologie humaine
Vous êtes-vous déjà demandé pourquoi l’ingénierie sociale est si efficace ? Plongez en profondeur dans la psychologie des cyberattaquants dans notre prochain webinaire.
Contrairement à leurs homologues authentiques et inchangés, qui sont proposés sous forme de fichiers d’image disque (.DMG), les versions malveillantes sont livrées sous la forme d’installateurs .PKG, qui sont équipés d’un script de post-installation qui active le comportement malveillant après l’installation.
« Comme un installateur demande souvent des autorisations d’administrateur pour fonctionner, le script exécuté par le processus d’installation en hérite », a noté Puzan.
L’objectif final de la campagne est de lancer le cheval de Troie-Proxy, qui se fait passer pour le processus WindowServer sur macOS pour échapper à la détection. WindowServer est un processus du système de base responsable de la gestion des fenêtres et du rendu de l’interface utilisateur graphique (GUI) des applications.
Au démarrage, il tente d’obtenir l’adresse IP du serveur de commande et de contrôle (C2) auquel se connecter via DNS-over-HTTPS (DoH) en chiffrant les requêtes et réponses DNS à l’aide du protocole HTTPS.
Trojan-Proxy établit ensuite le contact avec le serveur C2 et attend des instructions supplémentaires, notamment le traitement des messages entrants pour analyser l’adresse IP à laquelle se connecter, le protocole à utiliser et le message à envoyer, signalant ainsi que sa capacité à agir en tant que proxy via TCP ou UDP pour rediriger le trafic via l’hôte infecté.
Kaspersky a déclaré avoir trouvé des échantillons du logiciel malveillant téléchargés sur le moteur d’analyse VirusTotal dès le 28 avril 2023. Pour atténuer ces menaces, il est recommandé aux utilisateurs d’éviter de télécharger des logiciels à partir de sources non fiables.