Siber suçlular, Warez sitelerinde sunulan popüler, telif hakkıyla korunan macOS yazılımı ile birlikte yeni bir proxy Truva kötü amaçlı yazılımıyla Mac kullanıcılarını hedefliyor.
Proxy Trojan kötü amaçlı yazılım, bilgisayarlara bulaşır ve bunları, korunma, kimlik avı ve yasadışı mallar için işlemler gibi kötü niyetli veya yasadışı faaliyetleri anonimleştirmek için kullanılan trafik ilerici terminallere dönüştürür.
Proxy'lere erişim satmak, MAC cihazlarının bu yaygın aktiviteden kurtulmaması ile büyük botnetleri doğuran kazançlı bir iştir.
Proxy kötü amaçlı yazılım iten en son kampanya, yükün Virustotal tarihlerde en erken sunulmasını 28 Nisan 2023'e bildiren Kaspersky tarafından keşfedildi.
Kampanya, insanların premium uygulamalar için ödeme yapmaktan kaçınmak için bilgisayarlarının güvenliğini riske atma isteğinden yararlanıyor.
Kaspersky, ticari yazılımların ücretsiz sürümlerini arayan kullanıcılara yemlemek için proxy Truva atı ile bağlanmış 35 görüntü düzenleme, video sıkıştırma ve düzenleme, veri kurtarma ve ağ tarama araçları buldu.
Bu kampanyadaki truva yazılımının en popüler olanı:
Kaspersky, disk görüntüleri olarak dağıtılan meşru yazılımın aksine, truva atışlı sürümlerin PKG dosyaları olarak indirildiğini söylüyor.
Bu programlar için standart kurulum ortamı olan disk görüntü dosyalarıyla karşılaştırıldığında, PKG dosyaları uygulamanın yüklenmesi sırasında komut dosyalarını yürütebildikleri için çok daha risklidir.
Yükleyici dosyaları yönetici hakları ile yürütüldüğünden, yürüttikleri komut dosyaları, dosya değişikliği, dosya otomatikleştirme ve komut yürütme dahil olmak üzere tehlikeli eylemler gerçekleştirirken aynı izinleri kazanır.
Bu durumda, gömülü komut dosyaları, bir Windowserver dosyası olan Trojan'ı yürütmek ve bir sistem işlemi olarak görünmesini sağlamak için programın kurulumundan sonra etkinleştirilir.
Windowserver, grafik kullanıcı arayüzünü yönetmekten sorumlu macOS'ta meşru bir sistem işlemidir, bu nedenle Truva atı rutin sistem işlemleri ve kullanıcı incelemesiyle harmanlamayı amaçlamaktadır.
Windowserver'ı işletim sistemi başlatma başlatma ile görevlendirilen dosyaya, kullanıcı tarafından göz ardı edilmeyi amaçlayan bir Google yapılandırma dosyasını taklit eden "GoogleHelperPupdater.PLIST" olarak adlandırılır.
Başlatıldıktan sonra, Trojan, çalışmasıyla ilgili komutlar almak için DNS-HTTPS (DOH) aracılığıyla C2 (Komut ve Kontrol) sunucusuna bağlanır.
Kaspersky bu komutları çalışırken gözlemleyemedi, ancak analiz yoluyla, müşterinin proxy'yi kolaylaştırmak için TCP veya UDP bağlantıları oluşturmayı desteklediğini belirtti.
PKG'leri kullanan macOS kampanyasına ek olarak, aynı C2 altyapısı Android ve Windows mimarileri için proxy Truva yüklerine ev sahipliği yapıyor, böylece aynı operatörler muhtemelen çok çeşitli sistemleri hedefliyor.
Bluenoroff Hackers Backdoor Macs ile Yeni Objcshellz kötü amaçlı yazılım
Apple, acil durum güncellemelerinde iki yeni iOS sıfır gününü düzeltir
Atomic Stealer Malware MacOS'u sahte tarayıcı güncellemeleri aracılığıyla vurur
Kötü niyetli trafik için 23.000 vekil ile ipstorm botnet parçalandı
Bu yenilenmiş 32GB iPad ile 170 dolardan daha azıyla daha fazlasını yapın
Kaynak: Bleeping Computer