Novo malware de proxy mira usuários de Mac através de software pirateado
4 de Dezembro de 2023

Cibercriminosos estão visando usuários de Mac com um novo trojan proxy malware agrupado com software macOS popular e protegido por direitos autorais sendo oferecido em sites warez.

O trojan proxy malware infecta computadores, transformando-os em terminais de reenvio de tráfego usados para anonimizar atividades maliciosas ou ilegais, como hacking, phishing e transações de bens ilícitos.

Vender acesso a proxies é um negócio lucrativo que deu origem a botnets massivos, com os dispositivos Mac não sendo poupados por essa atividade generalizada.

A campanha mais recente que promove malware proxy foi descoberta pela Kaspersky, que relata que a primeira submissão da carga útil no VirusTotal data de 28 de abril de 2023.

A campanha tira proveito da disposição das pessoas em arriscar a segurança de seus computadores para evitar o pagamento por aplicativos premium.

A Kaspersky encontrou 35 ferramentas de edição de imagem, compressão e edição de vídeo, recuperação de dados e varredura de rede infectadas com o trojan proxy para atrair usuários à procura de versões gratuitas de software comercial.

Os softwares trojanizados mais populares nesta campanha são:

4K Video Downloader Pro
Aissessoft Mac Data Recovery
Aiseesoft Mac Video Converter Ultimate
AnyMP4 Android Data Recovery for Mac
Downie 4
FonePaw Data Recovery
Sketch
Wondershare UniConverter 13
SQLPro Studio
Artstudio Pro

A Kaspersky diz que, ao contrário do software legítimo, que são distribuídos como imagens de disco, as versões trojanizadas são baixadas como arquivos PKG.

Comparados aos arquivos de imagem de disco, que são o meio de instalação padrão para esses programas, os arquivos PKG são muito mais arriscados, pois podem executar scripts durante a instalação do aplicativo.

Como os arquivos instaladores são executados com direitos de administrador, qualquer script que eles executam ganha as mesmas permissões ao realizar ações perigosas, incluindo modificação de arquivo, autorun de arquivo e execução de comando.

Neste caso, os scripts embutidos são ativados após a instalação do programa para executar o trojan, um arquivo WindowServer, e fazê-lo parecer um processo do sistema.

WindowServer é um processo do sistema legítimo do macOS responsável pela gestão da interface do usuário gráfico, então o trojan pretende se misturar com as operações rotineiras do sistema e escapar do escrutínio do usuário.

O arquivo encarregado de lançar o WindowServer na inicialização do sistema operacional é chamado "GoogleHelperUpdater.plist", imitando um arquivo de configuração do Google, novamente, pretendendo passar despercebido pelo usuário.

Após a inicialização, o trojan se conecta ao seu servidor C2 (comando e controle) via DNS-over-HTTPS (DoH) para receber comandos relacionados à sua operação.

A Kaspersky não conseguiu observar esses comandos em ação, mas através da análise, deduziu que o cliente suporta a criação de conexões TCP ou UDP para facilitar o proxy.

Além da campanha do macOS usando PKGs, a mesma infraestrutura C2 hospeda payloads de trojans proxy para arquiteturas Android e Windows, então os mesmos operadores provavelmente visam uma ampla gama de sistemas.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...