Các trang web trái phép phân phối phiên bản có Trojan của phần mềm đã bị nhiễm virus được phát hiện là làm nhiễm độc malware mới trên hệ điều hành Apple macOS.
"Những kẻ tấn công có thể sử dụng loại malware này để kiếm tiền bằng cách xây dựng mạng máy chủ proxy hoặc thực hiện các hành vi tội phạm thay mặt cho nạn nhân: tấn công trang web, công ty và cá nhân, mua súng, ma túy và các hàng hóa cấm khác," Sergey Puzan, một nhà nghiên cứu an ninh của Kaspersky, nói.
Công ty an ninh mạng Nga cho biết họ đã tìm thấy bằng chứng chỉ ra rằng malware này là một mối đe dọa đa nền tảng, nhờ vào những dấu vết được khám phá trên Windows và Android được tích hợp trên các công cụ lậu.
Các biến thể macOS lây lan dưới vỏ bọc của các công cụ đa phương tiện, chỉnh sửa ảnh, khôi phục dữ liệu và công cụ năng suất chính thức. Điều này gợi ý rằng người dùng tìm kiếm phần mềm lậu là mục tiêu của chiến dịch.
Khác với các phiên bản chính thức, không bị thay đổi, được cung cấp dưới dạng tệp hình ảnh đĩa (.DMG), các phiên bản giả mạo được cung cấp dưới dạng trình cài đặt .PKG, đi kèm với một tập lệnh sau cài đặt kích hoạt hành vi độc hại.
"Do những trình cài đặt thường yêu cầu quyền quản trị để hoạt động, tập lệnh chạy bởi quá trình cài đặt kế thừa những quyền đó," Puzan lưu ý.
Mục tiêu cuối cùng của chiến dịch là triển khai Trojan-Proxy, che giấu bản thân như là quy trình WindowServer trên macOS để tránh bị phát hiện. WindowServer là quy trình hệ thống cốt lõi chịu trách nhiệm quản lý cửa sổ và hiển thị giao diện người dùng đồ họa (GUI) của các ứng dụng.
Khi bắt đầu, nó cố gắng lấy địa chỉ IP của máy chủ điều khiển và kiểm soát (C2) để kết nối thông qua DNS-over-HTTPS (DoH) bằng cách mã hóa yêu cầu và phản hồi DNS bằng giao thức HTTPS.
Trojan-Proxy sau đó thiết lập liên lạc với máy chủ C2 và đợi lệnh tiếp theo, bao gồm xử lý các tin nhắn đến để phân tích địa chỉ IP cần kết nối, giao thức sử dụng và tin nhắn để gửi, báo hiệu về khả năng của nó để hoạt động như một proxy qua TCP hoặc UDP để chuyển hướng lưu lượng qua máy chủ bị nhiễm.
Kaspersky nói rằng họ đã tìm thấy các mẫu malware được tải lên máy quét VirusTotal ngay từ ngày 28 tháng 4 năm 2023. Để giảm thiểu những mối đe dọa như vậy, người dùng được khuyến nghị tránh tải phần mềm từ nguồn không đáng tin cậy.