Οι εγκληματίες του κυβερνοχώρου στοχεύουν χρήστες Mac με ένα proxy trojan malware. Το κακόβουλο λογισμικό έρχεται με δημοφιλές copyrighted macOS software που προσφέρεται σε warez sites.
Το proxy trojan malware λειτουργεί με τον εξής τρόπο: μολύνει τους υπολογιστές Mac και τους μετατρέπει σε τερματικά προώθησης traffic, που χρησιμοποιούνται για την ανωνυμοποίηση κακόβουλων ή παράνομων δραστηριοτήτων όπως το hacking, το phishing και οι συναλλαγές για παράνομα αγαθά.
Η πρόσφατη καμπάνια ανακαλύφθηκε από την Kaspersky. Σύμφωνα με τους ερευνητές, η παλαιότερη υποβολή του κακόβουλου payload στο VirusTotal χρονολογείται στις 28 Απριλίου 2023.
Πειρατικό λογισμικό
Ουσιαστικά, οι hackers εκμεταλλεύονται την προθυμία των χρηστών να διακινδυνεύσουν την ασφάλεια του υπολογιστή τους για να αποφύγουν να πληρώσουν για premium εφαρμογές.
Δείτε επίσης: Apple: Διορθώνει zero-day ευπάθειες σε iPhone, iPad και Mac
Η Kaspersky βρήκε 35 εργαλεία επεξεργασίας εικόνων, συμπίεσης και επεξεργασίας βίντεο, ανάκτησης δεδομένων και δικτυακής σάρωσης που έφεραν το proxy trojan malware. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν τέτοιου είδους λογισμικά ως δολώματα αφού υπάρχουν πολλοί που αναζητούν τέτοιες υπηρεσίες δωρεάν.
Τα πιο δημοφιλή από τα trojanized software που χρησιμοποιήθηκαν σε αυτήν την καμπάνια είναι:
- 4K Video Donwloader Pro
- Aissessoft Mac Data Recovery
- Aiseesoft Mac Video Converter Ultimate
- AnyMP4 Android Data Recovery για Mac
- Downie 4
- FonePaw Data Recovery
- Sketch
- Wondershare UniConverter 13
- SQLPro Studio
- Artstudio Pro
Η Kaspersky προειδοποιεί ότι το νόμιμο λογισμικό διανέμεται ως disk images, ενώ οι trojanized εκδόσεις (αυτές που περιελάμβαναν και το proxy trojan malware για Mac) μεταφορτώνονται ως αρχεία PKG.
Σε σύγκριση με τα disk image files, τα αρχεία PKG είναι πολύ πιο επικίνδυνα καθώς μπορούν να εκτελέσουν scripts κατά την εγκατάσταση της εφαρμογής.
Τα αρχεία εγκατάστασης εκτελούνται με δικαιώματα διαχειριστή και αυτό σημαίνει ότι οποιαδήποτε scripts εκτελούν, αποκτούν τα ίδια δικαιώματα κατά την εκτέλεση επικίνδυνων ενεργειών, συμπεριλαμβανομένης της τροποποίησης αρχείου, της αυτόματης εκτέλεσης αρχείων και της εκτέλεσης εντολών.
Σε αυτήν την περίπτωση, τα ενσωματωμένα scripts ενεργοποιούνται μετά την εγκατάσταση του προγράμματος για να εκτελεστεί το trojan. Πρόκειται για ένα αρχείο WindowServer και εμφανίζεται ως διαδικασία συστήματος. Το WindowServer είναι μια νόμιμη διαδικασία συστήματος στο MacOS, επομένως το trojan συνδυάζεται με τις συνήθεις λειτουργίες του συστήματος για να αποφεύγεται η ανίχνευση ύποπτης δραστηριότητας.
Δείτε επίσης: Apple: Εργάζεται πάνω σε Privacy Screen για iPhones και Macs
Το αρχείο που επιφορτίζεται την εκκίνηση του WindowServer κατά την εκκίνηση του λειτουργικού συστήματος, ονομάζεται “GoogleHelperUpdater.plist“, μιμούμενο και πάλι ένα αρχείο διαμόρφωσης της Google, ώστε να αγνοηθεί από τον χρήστη.
Κατά την εκκίνηση, το proxy trojan malware συνδέεται με τον διακομιστή C2 (command and control) μέσω DNS-over-HTTPS (DoH) για να λάβει εντολές που σχετίζονται με τη λειτουργία του.
Οι ερευνητές της Kaspersky δεν μπόρεσαν να παρατηρήσουν αυτές τις εντολές στην πράξη, αλλά μέσω ανάλυσης, διαπίστωσαν την υποστήριξη δημιουργίας συνδέσεων TCP ή UDP για τη διευκόλυνση του proxying.
Οι ερευνητές παρατήρησαν ακόμα ότι εκτός από την καμπάνια macOS που χρησιμοποιεί PKG αρχεία, η ίδια υποδομή C2 φιλοξενεί trojan payloads για Android και Windows, επομένως οι ίδιοι χειριστές πιθανώς στοχεύουν ένα ευρύ φάσμα συστημάτων.
Η πρόσφατη αυτή καμπάνια καταδεικνύει για άλλη μια φορά τους κινδύνους που σχετίζονται με τα πειρατικά λογισμικά. Μπορεί να θέλετε να εξασφαλίσετε κάποια προϊόντα δωρεάν αλλά σκεφτείτε καλά πριν το κάνετε.
Πώς να προστατεύσετε το Mac σας από malware;
Ένας σημαντικός τρόπος προστασίας του Mac σας από κακόβουλο λογισμικό είναι να εγκαταστήσετε ένα αξιόπιστο antivirus πρόγραμμα. Αυτό θα σας βοηθήσει να ανιχνεύσετε και να αφαιρέσετε οποιοδήποτε κακόβουλο λογισμικό που ενδέχεται να έχει μολύνει το σύστημά σας.
Επιπλέον, είναι σημαντικό να ενημερώνετε πάντα το λειτουργικό σας σύστημα και τις εφαρμογές σας με τις τελευταίες διαθέσιμες ενημερώσεις ασφαλείας. Οι ενημερώσεις αυτές συνήθως περιέχουν διορθώσεις για γνωστά σφάλματα ασφαλείας και ενισχύουν την προστασία του συστήματός σας από κακόβουλο λογισμικό.
Δείτε επίσης: Βορειοκορεάτες hackers συνδυάζουν macOS malware τακτικές για να αποφύγουν τον εντοπισμό
Επιπλέον, αποφύγετε το άνοιγμα ή το κλικ σε ύποπτα ή μη αξιόπιστα email, συνημμένα αρχεία ή συνδέσμους. Το κακόβουλο λογισμικό μπορεί να κρύβεται εκεί και να μολύνει το σύστημά σας όταν τα ανοίξετε.
Επίσης, αποφύγετε το κατέβασμα και την εγκατάσταση λογισμικού από μη αξιόπιστες πηγές. Όπως φάνηκε από αυτή την καμπάνια, το πειρατικό λογισμικό ήταν η αιτία μόλυνσης των συσκευών.
Τέλος, να είστε προσεκτικοί κατά την περιήγησή σας στο διαδίκτυο και να αποφεύγετε την επίσκεψη σε ύποπτες ιστοσελίδες. Ορισμένες ιστοσελίδες μπορεί να περιέχουν κακόβουλο λογισμικό που θα μολύνει το σύστημά σας αν τις επισκεφθείτε.
Πηγή: www.bleepingcomputer.com
