Il nuovo malware proxy prende di mira gli utenti Mac tramite software piratato

I criminali informatici stanno prendendo di mira gli utenti Mac con un nuovo malware trojan proxy in bundle con il popolare software macOS protetto da copyright offerto sui siti warez.

Il malware trojan proxy infetta i computer, trasformandoli in terminali di inoltro del traffico utilizzati per rendere anonime attività dannose o illegali come hacking, phishing e transazioni di beni illeciti.

La vendita dell'accesso ai proxy è un business redditizio che ha dato vita a enormi botnet, e i dispositivi Mac non sono stati risparmiati da questa attività diffusa.

L'ultima campagna che spinge malware proxy è stata scoperta da Kaspersky, che riporta che il primo invio del payload su VirusTotal risale al 28 aprile 2023.

Kaspersky ha trovato 35 strumenti di editing di immagini, compressione e editing di video, recupero di dati e scansione di rete collegati al trojan proxy per adescare gli utenti alla ricerca di versioni gratuite di software commerciale.

Kaspersky afferma che, a differenza dei software legittimi, che vengono distribuiti come immagini disco, le versioni contenenti trojan vengono scaricate come file PKG.

Rispetto ai file immagine disco, che sono il mezzo di installazione standard per questi programmi, i file PKG sono molto più rischiosi poiché possono eseguire script durante l'installazione dell'app.

Poiché i file di installazione vengono eseguiti con diritti di amministratore, tutti gli script eseguiti ottengono le stesse autorizzazioni quando si eseguono azioni pericolose, inclusa la modifica dei file, l'esecuzione automatica dei file e l'esecuzione dei comandi.

In questo caso, gli script incorporati vengono attivati dopo l'installazione del programma per eseguire il trojan, un file WindowServer, e farlo apparire come un processo di sistema.

WindowServer è un processo di sistema legittimo in macOS responsabile della gestione dell'interfaccia utente grafica, quindi il trojan mira a fondersi con le operazioni di sistema di routine ed eludere il controllo dell'utente.

Il file incaricato di avviare WindowServer all'avvio del sistema operativo si chiama "GoogleHelperUpdater.plist", imitando, ancora una volta, un file di configurazione di Google, con l'obiettivo di essere trascurato dall'utente.

Al momento del lancio, il trojan si connette al suo server C2 (comando e controllo) tramite DNS-over-HTTPS (DoH) per ricevere comandi relativi al suo funzionamento.

Kaspersky non ha potuto osservare questi comandi in azione, ma attraverso l'analisi ha dedotto che il client supporta la creazione di connessioni TCP o UDP per facilitare il proxying.

Oltre alla campagna macOS che utilizza PKG, la stessa infrastruttura C2 ospita payload trojan proxy per architetture Android e Windows, quindi gli stessi operatori probabilmente prendono di mira un'ampia gamma di sistemi.