Контакты
Подписка 2025
ITSEC 2025
Защищенный удаленный доступ к ИТ-инфраструктуре. Обсуждаем решения 3 июля на онлайн-конференции
Регистрируйтесь и участвуйте!

Лаборатория Касперского: прокси-вирус превращает Mac в инструмент нелегального трафика

04/12/23

hack203

Лаборатория Касперского сообщает, что киберпреступники развернули новую кампанию против пользователей Mac, используя прокси-троян, который распространяется через защищенные авторским правом популярные программы для macOS, доступные на вредоносных сайтах. Прокси-троян превращает компьютеры в терминалы переадресации трафика, которые используются для анонимизации вредоносных или незаконных действий, таких как взлом, фишинг и транзакции с незаконными товарами. Об этом передаёт Securitylab.

Подобная деятельность, связанная с продажей доступа к прокси-серверам, породила крупные ботнеты. Причем, как подчеркивает Лаборатория Касперского, устройства Mac также оказались в числе пострадавших. Обнаруженная кампания, первое упоминание о которой появилось 28 апреля 2023 года, эксплуатирует стремление пользователей сэкономить на покупке лицензионного ПО.

Лаборатория Касперского обнаружила 35 заражённых программ, среди которых популярные инструменты для редактирования изображений, видео, восстановления данных и сетевого сканирования.

Важно отметить, что в отличие от оригинальных программ, распространяемых в виде образов дисков, зараженные версии предлагаются в формате PKG. Этот формат представляет собой большую опасность, поскольку позволяет выполнять скрипты во время установки, что может привести к несанкционированному доступу и изменениям в системе.

Особенно опасно, что такие скрипты, как и файлы установщика, запускаются с правами администратора. Доступ такого уровня позволяет злоумышленнику проводить вредоносные действия, включая изменения файлов, автозапуск файлов и выполнение команд.

После установки зараженной программы активируется троян, который маскируется под процесс WindowServer – легитимный системный процесс macOS. Такое действие позволяет трояну оставаться незаметным, интегрируясь в рутинные операции системы.

Запускаемый файл «GoogleHelperUpdater.plist», имитирующий файл конфигурации Google, также способствует скрытности вируса. После активации троян устанавливает связь со своим сервером управления и контроля (Command and Control, C2) через DNS-over-HTTPS (DoH), получая команды для своей работы. Анализ Лаборатории Касперского показал, что вирус может создавать TCP или UDP соединения, обеспечивая проксирование трафика.

Помимо кампании macOS с использованием PKG, в одной и той же инфраструктуре управления размещаются прокси-трояны для архитектур Android и Windows, поэтому одни и те же операторы, вероятно, нацелены на широкий спектр систем.

Темы:УгрозыЛКmacOS
КИИ
Как минимизировать киберриски и обеспечить непрерывность бизнеса: управление инцидентами
Узнайте на конференции 31 июля →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Отечественное ПО для объектов КИИ
Участвуйте 23 июля →

Еще темы...

More...