Trojaner-Proxy-Malware
Betrügerische Websites, die als Plattformen für Raubkopien fungieren, wurden als Hauptquelle für trojanisierte Apps identifiziert, die macOS-Benutzer mit einer neuartigen Trojan-Proxy-Malware infizieren. Diese Malware ermöglicht es Angreifern, Gewinne zu erzielen, indem sie ein Netzwerk aus Proxy-Servern aufbauen oder im Namen des Opfers illegale Aktivitäten durchführen. Zu diesen Aktivitäten können Angriffe auf Websites, Unternehmen und Einzelpersonen sowie der Kauf von Schusswaffen, Drogen und anderen illegalen Gegenständen gehören.
Experten für Cybersicherheit haben Hinweise darauf gefunden, dass diese Malware eine plattformübergreifende Bedrohung darstellt. Dies wird durch Artefakte untermauert, die sowohl für Windows- als auch für Android-Systeme entdeckt wurden und mit Raubkopien von Tools in Zusammenhang standen.
Inhaltsverzeichnis
Die Trojan-Proxy-Malware ist in der Lage, macOS-Geräte zu infizieren
Die macOS-Varianten der Kampagne verbreiteten sich, indem sie sich als legitime Multimedia-, Bildbearbeitungs-, Datenwiederherstellungs- und Produktivitätstools tarnten. Dies deutet darauf hin, dass Personen, die nach Raubkopien suchen, im Mittelpunkt des Angriffs stehen. Im Gegensatz zu ihren authentischen Gegenstücken, die als Disk-Image-Dateien (.DMG) verteilt werden, werden die gefälschten Versionen als .PKG-Installationsprogramme bereitgestellt. Diese Installationsprogramme enthalten ein Post-Installationsskript, das nach dem Installationsvorgang schädliche Aktivitäten auslöst. Da Installationsprogramme normalerweise Administratorrechte anfordern, erbt das ausgeführte Skript diese Berechtigungen.
Das ultimative Ziel der Kampagne besteht darin, den Trojan-Proxy freizusetzen, der sich unter macOS als WindowServer-Prozess ausgibt, um der Entdeckung zu entgehen. WindowServer dient als grundlegender Systemprozess, der für die Verwaltung von Windows und die Darstellung der grafischen Benutzeroberfläche (GUI) von Anwendungen verantwortlich ist.
Trojan-Proxy wartet heimlich auf Anweisungen der Angreifer
Bei der Ausführung auf dem kompromittierten Gerät versucht die Malware, die IP-Adresse des Command-and-Control (C2)-Servers für die Verbindung über DNS-over-HTTPS (DoH) zu erlangen. Dies wird durch die Verschlüsselung von DNS-Anfragen und -Antworten mithilfe des HTTPS-Protokolls erreicht.
Anschließend stellt der Trojan-Proxy die Kommunikation mit dem C2-Server her und wartet auf weitere Anweisungen. Es verarbeitet eingehende Nachrichten, um Informationen wie die IP-Adresse, zu der eine Verbindung hergestellt werden soll, das zu verwendende Protokoll und die zu übertragende Nachricht zu extrahieren. Dies bedeutet, dass es über TCP oder UDP als Proxy fungieren und den Datenverkehr über den infizierten Host umleiten kann.
Nach Angaben der Forscher lässt sich die Trojan-Proxy-Malware bereits auf den 28. April 2023 zurückverfolgen. Um solchen Bedrohungen entgegenzuwirken, wird Benutzern dringend empfohlen, keine Software von nicht vertrauenswürdigen Quellen herunterzuladen.
Trojaner-Bedrohungen können so programmiert werden, dass sie eine Vielzahl unsicherer Aktionen ausführen
Trojaner-Malware birgt aufgrund ihrer betrügerischen und vielschichtigen Natur vielfältige Risiken für Benutzer. Benutzern wird dringend empfohlen, einen umfassenden Sicherheitsansatz auf ihren Geräten zu implementieren, da sie sonst im Falle einer Trojaner-Infektion erhebliche Konsequenzen riskieren:
- Verborgene Nutzdaten : Trojaner tarnen sich als legitime Software oder Dateien und verleiten Benutzer dazu, unabsichtlich Schadcode zu installieren. Zu den verborgenen Nutzlasten können Ransomware, Spyware, Keylogger oder andere Arten zerstörerischer Software gehören.
- Datendiebstahl : Trojaner zielen häufig darauf ab, bestimmte Informationen zu sammeln, darunter Anmeldeinformationen, Finanzdaten oder persönliche Daten. Diese gesammelten Informationen können für verschiedene unsichere Zwecke ausgenutzt werden, darunter Identitätsdiebstahl, Finanzbetrug oder unbefugter Zugriff auf sensible Konten.
- Fernzugriff : Einige Trojaner sind darauf ausgelegt, einem Angreifer unbefugten Fernzugriff zu gewähren. Sobald der Trojaner eingesetzt wird, erlangt der Angreifer die Kontrolle über das infizierte System und kann so Dateien manipulieren, zusätzliche Malware installieren oder das kompromittierte Gerät sogar für größere Angriffe verwenden.
- Botnet-Bildung : Trojaner können zur Bildung von Botnets beitragen. Botnetze sind Netzwerke manipulierter Computer, die von einer einzigen Einheit kontrolliert werden. Diese Botnetze können für verschiedene unsichere Aktivitäten eingesetzt werden, beispielsweise für die Durchführung von DDoS-Angriffen (Distributed Denial of Service), die Verbreitung von Spam oder die Teilnahme an anderen koordinierten Cyber-Bedrohungen.
- Systemschaden : Trojaner können so programmiert sein, dass sie dem System eines Benutzers direkten Schaden zufügen, indem sie Dateien löschen, Einstellungen ändern oder das System funktionsunfähig machen. Dies kann zu erheblichen Datenverlusten führen und normale Computeraktivitäten stören.
- Proxy-Dienste : Bestimmte Trojaner fungieren als Proxy-Server und ermöglichen es Angreifern, ihren Internetverkehr über das infizierte System zu leiten. Dies kann ausgenutzt werden, um böswillige Aktivitäten durchzuführen und gleichzeitig die wahre Quelle der Angriffe zu verbergen, was es für die Behörden schwierig macht, den Ursprung zurückzuverfolgen.
- Verbreitung anderer Malware : Trojaner dienen oft als Träger für die Verbreitung anderer Arten von Malware. Sobald sie sich in einem System befinden, können sie zusätzliche Schadsoftware herunterladen und installieren, was die Bedrohung für den Benutzer verschärft.
Um die mit Trojaner-Malware verbundenen Risiken zu mindern, wird Benutzern empfohlen, strenge Cybersicherheitspraktiken anzuwenden, einschließlich der Verwendung seriöser Anti-Malware-Software, regelmäßiger Systemaktualisierungen und Vorsicht beim Herunterladen von Dateien oder beim Klicken auf Links, insbesondere aus nicht vertrauenswürdigen Quellen.
