Novi macOS proxy zlonamjerni softver

Novi macOS proxy zlonamjerni softver se širi preko piratskih verzija popularnog softvera namijenjenog za uređaje na macOS operativnim sistemom.

macOS proxy

Novi macOS proxy zlonamjerni softver; Source: Bing Image Creator

UVOD

Generalno posmatrano, piratski softver se povremeno koristio od strane zlonamjernih aktera za ubacivanje zlonamjernog softvera na uređaje korisnika. Korisnici često nisu voljni da plate komercijalne softvere i često traže “besplatnu” verziju na internetu u obliku piratskog softvera.

Tim potezom oni postaju odlična meta za zlonamjerne aktere koji odlično razumiju da će pojedinac koji traži piratski softver biti spreman da preuzmi i instalira taj softver sa sumnjive internet lokacije i onemogući bezbjednosne mehanizme da bi uspješno završio instalaciju. To znači da je ove korisnike prilično lako prevariti, pa uz piratski softver koji žele koristiti, dobiju i zlonamjerni softver.

Sigurnosni istraživači kompanije Kaspersky su otkrili nekoliko piratskih aplikacija namijenjenih za macOS operativne sisteme čija se distribucija odvija preko nelegalnih piratskih internet stranica u kojima se nalazi skriven zlonamjerni softver Trojan-Proxy. Zlonamjerni akteri koriste ovu vrstu softvera kao bi zaradili novac izgradnjom  mreže posredničkih (eng. proxy) servera ili da izvrše krivična dijela u ime žrtve: da pokreću napade na internet stranice, kompanije i pojedince, kupuju oružje, drogu i drugu nedozvoljenu robu.

 

MACOS PROXY ZLONAMJERNI SOFTVER

Sigurnosni istraživači kompanije Kaspersky su pojasnili, da se piratske verzije softvera u ovom slučaju nude kao paketne datoteke (PKG), za razliku od uobičajenih datoteka slike diska (DMG) koja se pokreće kao virtualni pogon na radnoj površini koji sadrži instaler aplikacije.

Ove PKG datoteke za instalaciju pokreću skripte prije i poslije instalacije, omogućavajući zlonamjernim akterima da izvrše zlonamjerni kôd nakon instalacije piratskog softvera. Pošto se instalacija izvršava sa administratorskim pravima, sve skripte koje se izvrše uz instalaciju  dobijaju iste dozvole kada izvode opasne radnje, uključujući modifikaciju datoteke, automatsko pokretanje datoteke i izvršavanje komande.

U ovom slučaju, skripte se aktiviraju nakon instalacije programa kako bi pokrenule trojanski program, datoteku WindowServer i učinile da se pojavi kao sistemski proces. WindowServer je legitimni sistemski proces u macOS operativnom sistemu odgovoran za upravljanje grafičkim korisničkim okruženjem, što znači da da trojanac ima za cilj da se stopi sa rutinskim sistemskim operacijama i izbjegne nadzor korisnika.

Datoteka koja ima zadatak da pokrene WindowServer pri pokretanju operativnog sistema nosi naziv “GoogleHelperUpdater.plist”, ponovo oponašajući Google konfiguracijsku datoteku, sa ciljem da je korisnik previdi. Po pokretanju, trojanac se povezuje sa svojim komandnim i kontrolnim serverom – C2 preko DNSoverHTTPS (DoH) veze da bi primio komande koje se odnose na njegov rad. Sigurnosni istraživači nisu mogli posmatrati komande koje trojanac dobija od C2 servera, ali su došli do zaključka analizom da klijent podržava kreiranje TCP ili UDP veza radi lakšeg proxy povezivanja.

Usprkos tome što su sigurnosni istraživači otkrili više verzija ovog trojanskog zlonamjernog softvera, sigurnosna riješenja niti jednu označila kao zlonamjernu. Osim macOS operativnog sistema, istraživači su otkrili trojanske varijacije koje ciljaju na Android i Windows operativne sisteme, a sve se povezuju na isti C2 server.

 

LISTA APLIKACIJA

Sigurnosni istraživači su pronašli 35 aplikacija za uređivanje slika, kompresiju i uređivanje videa, oporavak podataka i mrežno skeniranje u kojima se nalazi ovaj zlonamjerni softver kako bi inficirao korisnike koji traže “besplatne” verzije komercijalnog softvera. Najpopularniji trojanizovani softveri u ovoj kampanji su:

  • 4K Video Donwloader Pro
  • Aiseesoft Mac Video Converter Ultimate
  • Aissessoft Mac Data Recovery
  • AnyMP4 Android Data Recovery for Mac
  • Artstudio Pro
  • AweCleaner
  • Downie 4
  • FonePaw Data Recovery
  • MacDroid
  • MacX Video Converter Pro
  • NetShred X
  • Path Finder
  • Project Office X
  • Sketch
  • SQLPro Studio
  • Vellum
  • Wondershare UniConverter 13

 

ZAKLJUČAK

U ovom slučaju Trojan-Proxy radi tako što inficirane uređaje dodaje u zajedničku mrežu čija se zajednička propusna moć  kasnije na Mračnom internatu nudi drugim zlonamjernim akterima. Oni mogu da koriste ovu mrežu inficiranih uređaja da ostanu anonimni dok obavljaju različite ilegalne zadatke na internetu, kao što su napadi na druge korisnike, phishing i trgovina oružjem, drogom i drugom nelegalnom robom.

Ova kampanja još jednom demonstrira opasnosti povezane sa piratskim softverom. Možda korisnici žele da obezbijede neke proizvode besplatno, ali bi trebalo dobro da razmisle prije nego što to učine. Mnogi Apple korisnici vjeruju da je macOS operativni sistem toliko bezbjedan da im nikakve sajber prijetnje ne mogu naškoditi, tako da ne moraju da brinu o zaštiti svojih uređaja. Međutim, ovo je daleko od istine: iako ima manje zlonamjernog softvera za macOS uređaje, on je i dalje mnogo češći nego što bi vlasnici Apple uređaja željeli da priznaju.

Na primjer, do sada je na ovom blogu bilo riječi o o kradljivcima podataka MacStealer, Atomic (ili skraćeno AMOS), MetaStealer, backdoor zlonamjernom softveru SysJoker, onda LockBit ransomware zlonamjernom softveru koji se prilagodio za napade na macOS uređaje i sličnom napadu od strane AdLoad zlonamjernog softvera koji pretvara žrtve macOS u džinovski, rezidencijalni proxy botnet.

 

ZAŠTITA

Korisnici koji su preuzeli instalirali neki od navedenih softvera sa liste iznad, nemaju puno izbora, nego da urade kompletnu renistalaciju operativnog sistema. Pored toga korisnici mogu slijediti sljedeće savjete kako bi se zaštitili od ovakvih i sličnih prijetnji:

  • Važno je koristiti pouzdano antivirusno riješenje koje će pomoći u otkrivanju i uklanjaju zlonamjernog softvera na uređaju.
  • Važno je uvijek ažurirati operativni sistem i aplikacije dostupnim bezbjednosnim ažuriranjima. Ova ažuriranja obično sadrže ispravke za poznate greške u bezbjednosti i poboljšavaju zaštitu sistema od zlonamjernog softvera.
  • Izbjegavati otvaranje sumnjive ili nepouzdanu elektronsku pošte, priloga ili veza.
  • Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora. Kao što je ova kampanja pokazala, piratski softver može biti uzrok infekcije uređaja.
  • Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.