卡巴斯基:代理木马恶意软件捆绑流行的软件
网络犯罪分子利用新的代理木马恶意软件瞄准 Mac 用户,该恶意软件捆绑了 Warez 网站上提供的流行且受版权保护的 macOS 软件。
代理木马恶意软件会感染计算机,将其转变为流量转发终端,用于匿名进行黑客攻击、网络钓鱼、非法商品交易等恶意或非法活动。
出售代理服务器的访问权限是一项利润丰厚的业务,催生了众多僵尸网络,Mac 设备也无法幸免于这种广泛的活动。
卡巴斯基发现了最新的推送代理恶意软件的活动,该公司报告最早提交的有效负载日期为 2023 年 4 月 28 日。
与流行的 Warez 捆绑在一起
该活动利用了人们愿意冒着计算机安全风险来避免为高级应用程序付费的意愿。
卡巴斯基发现35个图像编辑、视频压缩和编辑、数据恢复和网络扫描工具带有代理木马,引诱用户寻找免费版本的商业软件。
此活动中最流行的木马是:
卡巴斯基表示,与以磁盘映像形式分发的正版软件不同,木马版本是以 PKG 文件的形式下载的。
与这些程序的标准安装介质磁盘映像文件相比,PKG 文件的风险要大得多,因为它们可以在安装过程中执行执行脚本的网页。
由于安装程序文件以管理员权限执行,因此它们执行的任何脚本在执行危险操作(包括文件修改、文件自动运行和命令执行)时都将被赋予相同的权限。
在这种情况下,程序安装后会激活嵌入的脚本来执行木马(文件)并使其显示为系统进程。
程序安装后执行的恶意脚本(卡巴斯基)
它是macOS中的合法系统进程,负责管理图形用户界面,因此该木马旨在与常规系统操作集成并逃避用户审查。
操作系统启动时用于启动的文件名为“.plist”卡巴斯基的激活码,再次模仿配置文件,旨在被用户忽略。
启动后,该木马通过 DNS-over-HTTPS (DoH) 连接到其 C2(命令和控制)服务器,以接收与其操作相关的命令。
卡巴斯基无法观察这些命令的行为,但通过分析,推断客户端支持创建 TCP 或 UDP 连接以方便代理。
除了使用 PKG 的 macOS 活动之外,相同的 C2 基础设施还托管代理木马有效负载和架构,因此相同的操作者可能会针对广泛的系统。
