{"id":5768,"date":"2023-12-08T22:06:04","date_gmt":"2023-12-08T21:06:04","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5768"},"modified":"2023-12-08T22:06:04","modified_gmt":"2023-12-08T21:06:04","slug":"novi-macos-proxy-zlonamjerni-softver","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/12\/08\/novi-macos-proxy-zlonamjerni-softver\/","title":{"rendered":"Novi macOS proxy zlonamjerni softver"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Novi <em>macOS<\/em> <em>proxy<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> se \u0161iri preko piratskih verzija popularnog softvera namijenjenog za ure\u0111aje na <em>macOS<\/em> operativnim sistemom.<\/span><\/p>\n<div id=\"attachment_5773\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-5773\" class=\"wp-image-5773 size-full\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Trojan-Proxy.jpg\" alt=\"macOS proxy\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Trojan-Proxy.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Trojan-Proxy-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Trojan-Proxy-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Trojan-Proxy-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Trojan-Proxy-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Trojan-Proxy-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/12\/Trojan-Proxy-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-5773\" class=\"wp-caption-text\">Novi macOS proxy zlonamjerni softver; Source: Bing Image Creator<\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/08\/novi-macos-proxy-zlonamjerni-softver\/#UVOD\" >UVOD<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/08\/novi-macos-proxy-zlonamjerni-softver\/#MACOS_PROXY_ZLONAMJERNI_SOFTVER\" >MACOS PROXY ZLONAMJERNI SOFTVER<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/08\/novi-macos-proxy-zlonamjerni-softver\/#LISTA_APLIKACIJA\" >LISTA APLIKACIJA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/08\/novi-macos-proxy-zlonamjerni-softver\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/08\/novi-macos-proxy-zlonamjerni-softver\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"UVOD\"><\/span><span style=\"font-size: 14pt;\"><strong>UVOD<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Generalno posmatrano, piratski softver se povremeno koristio od strane zlonamjernih aktera za ubacivanje zlonamjernog softvera na ure\u0111aje korisnika. Korisnici \u010desto nisu voljni da plate komercijalne softvere i \u010desto tra\u017ee \u201c<em>besplatnu<\/em>\u201d verziju na internetu u obliku piratskog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Tim potezom oni postaju odli\u010dna meta za <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerne aktere<\/a> koji odli\u010dno razumiju da \u0107e pojedinac koji tra\u017ei piratski softver biti spreman da preuzmi i instalira taj softver sa sumnjive internet lokacije i onemogu\u0107i bezbjednosne mehanizme da bi uspje\u0161no zavr\u0161io instalaciju. To zna\u010di da je ove korisnike prili\u010dno lako prevariti, pa uz piratski softver koji \u017eele koristiti, dobiju i zlonamjerni softver.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/securelist.com\/trojan-proxy-for-macos\/111325\/\" target=\"_blank\" rel=\"noopener\">Sigurnosni istra\u017eiva\u010di kompanije <em>Kaspersky<\/em> su otkrili<\/a> nekoliko piratskih aplikacija namijenjenih za <em>macOS<\/em> operativne sisteme \u010dija se distribucija odvija preko nelegalnih piratskih internet stranica u kojima se nalazi skriven zlonamjerni softver <em>Trojan-Proxy<\/em>. Zlonamjerni akteri koriste ovu vrstu softvera kao bi zaradili novac izgradnjom\u00a0 mre\u017ee posredni\u010dkih (eng. <em>proxy)<\/em> servera ili da izvr\u0161e krivi\u010dna dijela u ime \u017ertve: da pokrec\u0301u napade na internet stranice, kompanije i pojedince, kupuju oru\u017eje, drogu i drugu nedozvoljenu robu.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"MACOS_PROXY_ZLONAMJERNI_SOFTVER\"><\/span><span style=\"font-size: 14pt;\"><strong><em>MACOS PROXY<\/em> ZLONAMJERNI SOFTVER<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di kompanije <em>Kaspersky<\/em> su pojasnili, da se piratske verzije softvera u ovom slu\u010daju nude kao paketne datoteke (<em>PKG<\/em>), za razliku od uobi\u010dajenih datoteka slike diska (<em>DMG<\/em>) koja se pokre\u0107e kao virtualni pogon na radnoj povr\u0161ini koji sadr\u017ei instaler aplikacije.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ove <em>PKG<\/em> datoteke za instalaciju pokre\u0107u skripte prije i poslije instalacije, omogu\u0107avaju\u0107i zlonamjernim akterima da izvr\u0161e zlonamjerni k\u00f4d nakon instalacije piratskog softvera. Po\u0161to se instalacija izvr\u0161ava sa administratorskim pravima, sve skripte koje se izvr\u0161e uz instalaciju\u00a0 dobijaju iste dozvole kada izvode opasne radnje, uklju\u010duju\u0107i modifikaciju datoteke, automatsko pokretanje datoteke i izvr\u0161avanje komande.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U ovom slu\u010daju, skripte se aktiviraju nakon instalacije programa kako bi pokrenule <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanski program<\/a>, datoteku <em>WindowServer<\/em> i u\u010dinile da se pojavi kao sistemski proces. <em>WindowServer<\/em> je legitimni sistemski proces u <em>macOS<\/em> operativnom sistemu odgovoran za upravljanje grafi\u010dkim korisni\u010dkim okru\u017eenjem, \u0161to zna\u010di da da trojanac ima za cilj da se stopi sa rutinskim sistemskim operacijama i izbjegne nadzor korisnika.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Datoteka koja ima zadatak da pokrene <em>WindowServer<\/em> pri pokretanju operativnog sistema nosi naziv \u201c<em>GoogleHelperUpdater.plist<\/em>\u201d, ponovo opona\u0161aju\u0107i <em>Google<\/em> konfiguracijsku datoteku, sa ciljem da je korisnik previdi. Po pokretanju, trojanac se povezuje sa svojim komandnim i kontrolnim serverom \u2013 <em>C2<\/em> preko <em>DNS<\/em>&#8211;<em>over<\/em>&#8211;<em>HTTPS<\/em> (<em>DoH<\/em>) veze da bi primio komande koje se odnose na njegov rad. Sigurnosni istra\u017eiva\u010di nisu mogli posmatrati komande koje trojanac dobija od <em>C2 <\/em>servera, ali su do\u0161li do zaklju\u010dka analizom da klijent podr\u017eava kreiranje <em>TCP<\/em> ili <em>UDP<\/em> veza radi lak\u0161eg <em>proxy<\/em> povezivanja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Usprkos tome \u0161to su sigurnosni istra\u017eiva\u010di otkrili vi\u0161e verzija ovog trojanskog zlonamjernog softvera, sigurnosna rije\u0161enja niti jednu ozna\u010dila kao zlonamjernu. Osim <em>macOS<\/em> operativnog sistema, istra\u017eiva\u010di su otkrili trojanske varijacije koje ciljaju na <em>Android<\/em> i <em>Windows<\/em> operativne sisteme, a sve se povezuju na isti <em>C2<\/em> server.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"LISTA_APLIKACIJA\"><\/span><strong><span style=\"font-size: 14pt;\">LISTA APLIKACIJA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su prona\u0161li 35 aplikacija za ure\u0111ivanje slika, kompresiju i ure\u0111ivanje videa, oporavak podataka i mre\u017eno skeniranje u kojima se nalazi ovaj zlonamjerni softver kako bi inficirao korisnike koji tra\u017ee \u201c<em>besplatne<\/em>\u201d verzije komercijalnog softvera. Najpopularniji trojanizovani softveri u ovoj kampanji su:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\"><em>4K Video Donwloader Pro<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Aiseesoft Mac Video Converter Ultimate<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Aissessoft Mac Data Recovery<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>AnyMP4 Android Data Recovery for Mac<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Artstudio Pro<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>AweCleaner<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Downie 4<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>FonePaw Data Recovery<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>MacDroid<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>MacX Video Converter Pro<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>NetShred X<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Path Finder<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Project Office X<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Sketch<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>SQLPro Studio<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Vellum<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Wondershare UniConverter 13<\/em><\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">U ovom slu\u010daju\u00a0<em>Trojan-Proxy<\/em> radi tako \u0161to inficirane ure\u0111aje dodaje u zajedni\u010dku mre\u017eu \u010dija se zajedni\u010dka propusna mo\u0107\u00a0 kasnije na Mra\u010dnom internatu nudi drugim zlonamjernim akterima. Oni mogu da koriste ovu mre\u017eu inficiranih ure\u0111aja da ostanu anonimni dok obavljaju razli\u010dite ilegalne zadatke na internetu, kao \u0161to su napadi na druge korisnike, <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>i trgovina oru\u017ejem, drogom i drugom nelegalnom robom.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ova kampanja jo\u0161 jednom demonstrira opasnosti povezane sa piratskim softverom. Mo\u017eda korisnici \u017eele da obezbijede neke proizvode besplatno, ali bi trebalo dobro da razmisle prije nego \u0161to to u\u010dine. Mnogi <em>Apple<\/em> korisnici vjeruju da je <em>macOS<\/em> operativni sistem toliko bezbjedan da im nikakve sajber prijetnje ne mogu na\u0161koditi, tako da ne moraju da brinu o za\u0161titi svojih ure\u0111aja. Me\u0111utim, ovo je daleko od istine: iako ima manje zlonamjernog softvera za <em>macOS<\/em> ure\u0111aje, on je i dalje mnogo \u010de\u0161c\u0301i nego \u0161to bi vlasnici <em>Apple<\/em> ure\u0111aja \u017eeljeli da priznaju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Na primjer, do sada je na ovom blogu bilo rije\u010di o o kradljivcima podataka <a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/30\/macstealer-zlonamjerni-softver\/\"><em>MacStealer<\/em><\/a>, <a href=\"https:\/\/sajberinfo.com\/en\/2023\/09\/14\/atomic-macos-nova-kampanja\/\"><em>Atomic<\/em> (ili skra\u0107eno <em>AMOS<\/em>)<\/a>, <a href=\"https:\/\/sajberinfo.com\/en\/2023\/09\/19\/metastealer-napada-apple-macos\/\"><em>MetaStealer<\/em><\/a>, <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\"><em>backdoor<\/em><\/a> zlonamjernom softveru <a href=\"https:\/\/sajberinfo.com\/en\/2023\/12\/03\/sysjoker-napada-windows-linux-i-mac\/\"><em>SysJoker<\/em><\/a>, onda <a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/30\/macstealer-zlonamjerni-softver\/\"><em>LockBit<\/em> <em>ransomware<\/em><\/a> zlonamjernom softveru koji se prilagodio za napade na <em>macOS<\/em> ure\u0111aje i sli\u010dnom napadu od strane <a href=\"https:\/\/sajberinfo.com\/en\/2023\/08\/13\/adload-pretvara-mac-sisteme-u-izlazna-proxy-cvorista\/\"><em>AdLoad<\/em><\/a> zlonamjernog softvera koji pretvara \u017ertve <em>macOS<\/em> u d\u017einovski, rezidencijalni <em>proxy<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/24\/botnet\/\"><em>botnet<\/em><\/a>.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Korisnici koji su preuzeli instalirali neki od navedenih softvera sa liste iznad, nemaju puno izbora, nego da urade kompletnu renistalaciju operativnog sistema. Pored toga korisnici mogu slijediti sljede\u0107e savjete kako bi se za\u0161titili od ovakvih i sli\u010dnih prijetnji:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Va\u017eno je koristiti pouzdano antivirusno rije\u0161enje koje \u0107e pomo\u0107i u otkrivanju i uklanjaju zlonamjernog softvera na ure\u0111aju.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Va\u017eno je uvijek a\u017eurirati operativni sistem i aplikacije dostupnim bezbjednosnim a\u017euriranjima. Ova a\u017euriranja obi\u010dno sadr\u017ee ispravke za poznate gre\u0161ke u bezbjednosti i pobolj\u0161avaju za\u0161titu sistema od zlonamjernog softvera.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izbjegavati otvaranje sumnjive ili nepouzdanu elektronsku po\u0161te, priloga ili veza.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora. Kao \u0161to je ova kampanja pokazala, piratski softver mo\u017ee biti uzrok infekcije ure\u0111aja.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti oprezan prilikom pretra\u017eivanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadr\u017ee zlonamjerni softver koji mo\u017ee zaraziti ure\u0111aj prilikom otvaranja takvih stranica.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Novi macOS proxy zlonamjerni softver se \u0161iri preko piratskih verzija popularnog softvera namijenjenog za ure\u0111aje na macOS operativnim sistemom. UVOD Generalno posmatrano, piratski softver se povremeno koristio od strane zlonamjernih aktera za ubacivanje zlonamjernog&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":5773,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[144,229,96,610],"class_list":["post-5768","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-macos","tag-proxy","tag-trojan","tag-trojan-proxy"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5768","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5768"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5768\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5773"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5768"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5768"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5768"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}