"Лаборатория Касперского" обнаружила новую угрозу в виде кросс-платформенного вредоносного программного обеспечения Trojan-Proxy, которое может повлиять на пользователей Windows и Android. Это вредоносное ПО может быть использовано злоумышленниками для создания сети прокси-серверов или для совершения преступных действий от имени жертвы, таких как атаки на веб-сайты, компании и частных лиц.
Варианты распространяются под видом законных инструментов мультимедиа, редактирования изображений, восстановления данных и повышения производительности. Это означает, что злоумышленники нацелены на пользователей, которые ищут пиратское программное обеспечение.
Установка вредоносного ПО обычно происходит через файлы .PKG, которые оснащены послеустановочным сценарием, активирующим вредоносное поведение после установки. В процессе установки программа часто запрашивает права администратора, и сценарий, запускаемый процессом установки, наследует эти права.
Конечная цель этой кампании — запуск трояна-прокси, который маскируется под процесс WindowServer на macOS, чтобы избежать обнаружения. WindowServer — это основной системный процесс, отвечающий за управление окнами и отображение графического пользовательского интерфейса приложений.
При запуске зловред пытается получить IP-адрес сервера управления и контроля для подключения через DNS-over-HTTPS (DoH), шифруя запросы и ответы DNS с использованием протокола HTTPS.
Далее Trojan-Proxy устанавливает контакт с сервером C2 и ожидает дальнейших инструкций. Это может включать обработку входящих сообщений для анализа IP-адреса для подключения, используемого протокола и сообщения для отправки. Таким образом, это вредоносное ПО сигнализирует о своей готовности действовать в качестве прокси через TCP или UDP для перенаправления трафика через зараженный хост.
Чтобы защитить себя от этой угрозы, важно избегать загрузки программного обеспечения из непроверенных источников.
Источник: https://securelist.com/trojan-proxy-for-macos/111325/
Варианты распространяются под видом законных инструментов мультимедиа, редактирования изображений, восстановления данных и повышения производительности. Это означает, что злоумышленники нацелены на пользователей, которые ищут пиратское программное обеспечение.
Установка вредоносного ПО обычно происходит через файлы .PKG, которые оснащены послеустановочным сценарием, активирующим вредоносное поведение после установки. В процессе установки программа часто запрашивает права администратора, и сценарий, запускаемый процессом установки, наследует эти права.
Конечная цель этой кампании — запуск трояна-прокси, который маскируется под процесс WindowServer на macOS, чтобы избежать обнаружения. WindowServer — это основной системный процесс, отвечающий за управление окнами и отображение графического пользовательского интерфейса приложений.
При запуске зловред пытается получить IP-адрес сервера управления и контроля для подключения через DNS-over-HTTPS (DoH), шифруя запросы и ответы DNS с использованием протокола HTTPS.
Далее Trojan-Proxy устанавливает контакт с сервером C2 и ожидает дальнейших инструкций. Это может включать обработку входящих сообщений для анализа IP-адреса для подключения, используемого протокола и сообщения для отправки. Таким образом, это вредоносное ПО сигнализирует о своей готовности действовать в качестве прокси через TCP или UDP для перенаправления трафика через зараженный хост.
Чтобы защитить себя от этой угрозы, важно избегать загрузки программного обеспечения из непроверенных источников.
Источник: https://securelist.com/trojan-proxy-for-macos/111325/
