Nieuwe proxy-malware richt zich op Mac-gebruikers via illegale software

Abraham54

Administrator
Forumleiding
Lid geworden
2 aug 2016
Berichten
34.977
Leeftijd
70
OS
Windows 11 Professional
AV
Microsoft Defender
FW
Windows Firewall

Nieuwe proxy-malware richt zich op Mac-gebruikers via illegale software​

Door Bill Toulas

back.jpg


Cybercriminelen richten zich op Mac-gebruikers met een nieuwe proxy trojan malware gebundeld met populaire,
auteursrechtelijk beschermde macOS software die wordt aangeboden op warez sites.

Proxy trojan malware infecteert computers en verandert ze in terminals voor het doorsturen van verkeer die worden gebruikt
om kwaadaardige of illegale activiteiten zoals hacken, phishing en transacties voor illegale goederen te anonimiseren.

Het verkopen van toegang tot proxy's is een lucratieve business die heeft geleid tot massale botnets, waarbij Mac-apparaten
niet worden gespaard door deze wijdverspreide activiteit.

De nieuwste campagne met proxy-malware is ontdekt door Kaspersky, dat meldt dat de payload voor het eerst op 28 april 2023
op VirusTotal is geplaatst.

Gebundeld met populaire warez​

De campagne maakt gebruik van de bereidheid van mensen, om de beveiliging van hun computer op het spel te zetten om niet
te hoeven betalen voor premium apps.

Kaspersky vond 35 tools voor het bewerken van afbeeldingen, videocompressie en -bewerking, gegevensherstel en
netwerkscannen die waren voorzien van de proxy trojan om gebruikers te lokken die op zoek waren naar gratis versies van
commerciële software.

De meest populaire van de getrojaniseerde software in deze campagne zijn:
  • 4K Video Donwloader Pro
  • Aissessoft Mac Data Recovery
  • Aiseesoft Mac Video Converter Ultimate
  • AnyMP4 Android Data Recovery for Mac
  • Downie 4
  • FonePaw Data Recovery
  • Sketch
  • Wondershare UniConverter 13
  • SQLPro Studio
  • Artstudio Pro
Kaspersky zegt dat in tegenstelling tot de legitieme software, die wordt gedistribueerd als schijf-images, de getrojaniseerde
versies worden gedownload als PKG-bestanden.

Vergeleken met schijfimagebestanden, die het standaard installatiemedium zijn voor deze programma's, zijn PKG-bestanden
veel riskanter omdat ze scripts kunnen uitvoeren tijdens de installatie van de app.

Omdat installatiebestanden worden uitgevoerd met beheerdersrechten, krijgen scripts die ze uitvoeren dezelfde rechten bij
het uitvoeren van gevaarlijke acties, waaronder het wijzigen van bestanden, autorunnen van bestanden en uitvoeren van
opdrachten.

In dit geval worden de ingesloten scripts geactiveerd na de installatie van het programma om de trojan, een
WindowServer-bestand, uit te voeren en het te laten verschijnen als een systeemproces.

script.png

Schadelijk script dat wordt uitgevoerd na de installatie van het programma (Kaspersky)

WindowServer is een legitiem systeemproces in macOS dat verantwoordelijk is voor het beheer van de grafische
gebruikersinterface, dus de trojan heeft als doel om zich te vermengen met routinematige systeembewerkingen en zich aan
de aandacht van de gebruiker te onttrekken.

Het bestand dat WindowServer opstart bij het opstarten van het besturingssysteem heet "GoogleHelperUpdater.plist" en
bootst een configuratiebestand van Google na, wederom met het doel om door de gebruiker over het hoofd te worden gezien.

Bij het opstarten maakt de trojan via DNS-over-HTTPS (DoH) verbinding met zijn C2 (command and control) server om
commando's met betrekking tot de werking te ontvangen.

Kaspersky kon deze commando's niet in actie zien, maar leidde uit analyse af dat de client het maken van TCP- of
UDP-verbindingen ondersteunt om proxying mogelijk te maken.

Naast de macOS-campagne die PKG's gebruikt, host dezelfde C2-infrastructuur ook proxy trojan payloads voor Android- en
Windows-architecturen, dus dezelfde operators richten zich waarschijnlijk op een breed scala aan systemen.


BRON
 
Terug
Bovenaan Onderaan