В «Лаборатории Касперского» сообщили, что угроза троянских прокси распространяется на macOS, Android и Windows.
Специалисты по информационной безопасности из «Лаборатории Касперского» обнародовали информацию о новой киберугрозе, которая связана со взломанными программами, распространяемыми через неавторизованные веб-сайты. Это ПО скрывает в себе троянский прокси, предназначенный для компрометации пользовательских устройств.
Аналитики отмечают, что хакеры используют желание пользователей находить бесплатное программное обеспечение в сети. Они эксплуатируют готовность людей скачивать программы из сомнительных источников. Это, в конечном итоге, приводит к тому, что некоторые пользователи загружают и устанавливают на свои устройства зараженное программное обеспечение.
Согласно новому отчету, опубликованному «Лабораторией Касперского», зараженные программы для macOS представлены в виде установщиков .PKG. Они отличаются от оригинальных неизмененных версий, обычно распространяемых в виде образов дисков. Эти установщики запускают сценарии до и после установки, что позволяет злоумышленникам выполнить вредоносный код после установки.
Вредоносный скрипт, расположенный в каталоге /Contents/Resources/, заменяет критические файлы, такие как WindowServer и p.plist, в системе жертвы. Это предоставляет злоумышленникам права администратора и позволяет вредоносному ПО работать незамеченным.
Файл p.plist действует как файл конфигурации, имитируя файл конфигурации Google для автоматического запуска файла WindowServer как системного процесса после загрузки операционной системы. Двоичный файл универсального формата WindowServer используется для обхода обнаружения мерами безопасности.
После запуска он создает файлы журналов и пытается получить IP-адрес сервера управления (C2) через DNS-over-HTTPS (DoH), скрывая свою связь в обычном HTTPS-трафике.
«Злоумышленники могут использовать этот тип вредоносного ПО для получения денег путем создания сети прокси-серверов или для совершения преступных действий от имени жертвы: атаковать веб-сайты, компании и частных лиц, покупать оружие, наркотики и другие незаконные товары», — уточняют в «Лаборатории Касперского».
С полной версией отчета можно ознакомиться по следующей ссылке.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.