Studiuesit e Kaspersky kanë zbuluar malware të ri për macOS që shpërndahet përmes softuerit pirat. Kur infektohen, Mac-ët bëhen pjesë e një rrjeti serverësh proxy që kriminelët kibernetikë përdorin për aktivitete të ndryshme të paligjshme. E njëjta infrastrukturë C2 (komandë dhe kontroll) mund të presë ngarkesa për Windows dhe Android.
Proxy trojan në 35 programe pirate
Shpërndarja e malware përmes softuerit pirat është një nga metodat më të përdorura. Përdoruesit shkarkojnë aplikacione nga faqet warez, shpesh duke çaktivizuar mbrojtjen e sigurisë, për të shmangur tarifat e licencimit. Trojan proxy u gjet nga Kaspersky në softuerin e redaktimit të imazheve 35, kompresimit të videos, rikuperimit të të dhënave dhe skanimit të rrjetit.
Instaluesit legjitim të softuerit për macOS janë në formatin DMG. Ato që fshehin malware janë në formatin PKG, pasi lejojnë kriminelët kibernetikë të ekzekutojnë skriptet, para ose pas instalimit aktual. Meqenëse instalimi kryhet me të drejta administratori, skriptet kanë të njëjtat leje, kështu që ata mund të kryejnë veprime të shumta të rrezikshme.
Në këtë rast, një skript kopjon dy skedarë në Mac. E para (p.plist ose GoogleHelperUpdater.plist) përmban konfigurimin e të dytit (WindowServer). Ky i fundit ka të njëjtin emër si një proces sistemi që menaxhon ndërfaqen grafike macOS, por është proxy Trojan që merr komanda nga serveri C2 nëpërmjet shërbimit DNS-over-HTTPS (DoH).
Mac-ët e infektuar bëhen serverë proxy që kriminelët kibernetikë i përdorin për të fshehur adresën e vërtetë IP dhe më pas për të përcjellë trafikun gjatë aktiviteteve të tyre, duke përfshirë sulmet e phishing dhe transaksionet që lidhen me blerjen e armëve, drogave dhe produkteve të tjera të paligjshme.
Discussion about this post