Malware proxy prende di mira gli utenti Mac con software piratati

Gli utenti Mac sono stati presi di mira da una campagna che diffonde un malware trojan proxy in bundle, usando popolari software macOS protetti da copyright, offerti sui siti warez. Il malware trojan proxy infetta i computer, trasformandoli in terminali di inoltro del traffico utilizzati per rendere anonime attività dannose o illegali come hacking, phishing ecc. La campagna più recente relativa a malware proxy è stata scoperta da Kaspersky. La società di sicurezza indica che il primo invio del payload su VirusTotal risale al 28 aprile 2023. Tali campagne sfruttano la volontà delle persone di rischiare la sicurezza del proprio computer per evitare di pagare per app premium. La società ha trovato 35 strumenti di editing di immagini e video, compressione, recupero dati e scansione di rete collegati al trojan proxy. Tra i software più popolari coinvolti vi sono 4K Video Donwloader Pro, Sketch, Wondershare UniConverter 13 e SQLPro Studio.

Trojan proxy: come funziona l’attacco agli utenti Mac

Kaspersky afferma che, a differenza dei software legittimi, che vengono distribuiti come immagini disco, le versioni contenenti trojan vengono scaricate come file PKG. Rispetto ai file ISO, che sono il mezzo di installazione standard per questi programmi, i file PKG sono molto più rischiosi. Questi possono infatti eseguire script durante l'installazione dell'app. Poiché i file di installazione vengono eseguiti con diritti di amministratore, tutti gli script ottengono le stesse autorizzazioni quando si eseguono attività pericolose, inclusa la modifica dei file, l'esecuzione automatica dei file e dei comandi. Gli script incorporati vengono attivati ​​dopo l'installazione del programma per eseguire il trojan, un file WindowServer, e farlo apparire come un processo di sistema. Quest’ultimo è un processo di sistema legittimo in macOS responsabile della gestione dell'interfaccia utente, quindi il trojan mira a fondersi con le operazioni di sistema di routine ed eludere il controllo dell'utente.

Il file incaricato di avviare WindowServer all'avvio del sistema operativo si chiama "GoogleHelperUpdater.plist", imitando, ancora una volta, un file di configurazione di Google, in modo da passare inosservato all'utente. Al momento del lancio, il trojan si connette al suo server C2 (comando e controllo) tramite DNS-over-HTTPS (DoH) per ricevere comandi relativi al suo funzionamento. Kaspersky non ha potuto osservare questi comandi in azione. Tuttavia, attraverso l'analisi, ha dedotto che il client supporta la creazione di connessioni TCP o UDP per facilitare il proxying. Oltre alla campagna macOS che utilizza PKG, la stessa infrastruttura C2 ospita payload trojan proxy per architetture Android e Windows. È quindi probabili gli stessi cybercriminali stiano prendono di mira un'ampia gamma di sistemi.