Лаборатория Касперского: прокси-вирус превращает Mac в инструмент нелегального трафика

[Artifact]

Скачивая пиратский софт, вы можете стать занавесом для закулисья киберпреступности.
Лаборатория Касперского сообщает, что киберпреступники развернули https://securelist.ru/trojan-proxy-for-macos/108460/ против пользователей Mac, используя прокси-троян, который распространяется через защищенные авторским правом популярные программы для macOS, доступные на вредоносных сайтах. Прокси-троян превращает компьютеры в терминалы переадресации трафика, которые используются для анонимизации вредоносных или незаконных действий, таких как взлом, фишинг и транзакции с незаконными товарами.
Подобная деятельность, связанная с продажей доступа к прокси-серверам, породила крупные ботнеты. Причем, как подчеркивает Лаборатория Касперского, устройства Mac также оказались в числе пострадавших. Обнаруженная кампания, первое упоминание о которой появилось 28 апреля 2023 года, эксплуатирует стремление пользователей сэкономить на покупке лицензионного ПО.
Лаборатория Касперского обнаружила 35 заражённых программ, среди которых популярные инструменты для редактирования изображений, видео, восстановления данных и сетевого сканирования.
Важно отметить, что в отличие от оригинальных программ, распространяемых в виде образов дисков, зараженные версии предлагаются в формате PKG. Этот формат представляет собой большую опасность, поскольку позволяет выполнять скрипты во время установки, что может привести к несанкционированному доступу и изменениям в системе.
Особенно опасно, что такие скрипты, как и файлы установщика, запускаются с правами администратора. Доступ такого уровня позволяет злоумышленнику проводить вредоносные действия, включая изменения файлов, автозапуск файлов и выполнение команд.
После установки зараженной программы активируется троян, который маскируется под процесс WindowServer – легитимный системный процесс macOS. Такое действие позволяет трояну оставаться незаметным, интегрируясь в рутинные операции системы.
Запускаемый файл «GoogleHelperUpdater.plist», имитирующий файл конфигурации Google, также способствует скрытности вируса. После активации троян устанавливает связь со своим сервером управления и контроля (Command and Control, C2) через DNS-over-HTTPS (DoH), получая команды для своей работы. Анализ Лаборатории Касперского показал, что вирус может создавать TCP или UDP соединения, обеспечивая проксирование трафика.
Помимо кампании macOS с использованием PKG, в одной и той же инфраструктуре управления размещаются прокси-трояны для архитектур Android и Windows, поэтому одни и те же операторы, вероятно, нацелены на широкий спектр систем.