Segundo a Kaspersky, um novo malware de proxy ataca usuários de Mac com software pirata. Confira os detalhes dessa ameaça.
Os cibercriminosos estão atacando os usuários de Mac com um novo malware trojan proxy, fornecido com software macOS popular e protegido por direitos autorais, oferecido em sites warez.
Novo malware de proxy ataca usuários de Mac com software pirata
O malware trojan proxy infecta computadores, transformando-os em terminais de encaminhamento de tráfego usados para anonimizar atividades maliciosas ou ilegais, como hacking, phishing e transações de produtos ilícitos.
A venda de acesso a proxies é um negócio lucrativo que deu origem a enormes botnets, e os dispositivos Mac não foram poupados por esta atividade generalizada.
A última campanha de malware de proxy foi descoberta pela Kaspersky, que relata o primeiro envio da carga útil no VirusTotal em 28 de abril de 2023.
A campanha aproveita a disposição das pessoas em arriscar a segurança de seus computadores para evitar pagar por aplicativos premium.
A Kaspersky encontrou 35 ferramentas de edição de imagens, compactação e edição de vídeo, recuperação de dados e verificação de rede associadas ao trojan proxy para atrair usuários que procuram versões gratuitas de software comercial.
Os softwares trojanizados mais populares nesta campanha são:
- 4K Video Donwloader Pro
- Aissessoft Mac Data Recovery
- Aiseesoft Mac Video Converter Ultimate
- AnyMP4 Android Data Recovery for Mac
- Downie 4
- FonePaw Data Recovery
- Sketch
- Wondershare UniConverter 13
- SQLPro Studio
- Artstudio Pro
A Kaspersky diz que, diferentemente dos softwares legítimos, que são distribuídos como imagens de disco, as versões trojanizadas são baixadas como arquivos PKG.
Comparados aos arquivos de imagem de disco, que são o meio de instalação padrão desses programas, os arquivos PKG são muito mais arriscados, pois podem executar scripts durante a instalação do aplicativo.
Como os arquivos do instalador são executados com direitos de administrador, todos os scripts executados ganham as mesmas permissões ao executar ações perigosas, incluindo modificação de arquivos, execução automática de arquivos e execução de comandos.
Neste caso, os scripts incorporados são ativados após a instalação do programa para executar o trojan, um arquivo WindowServer, e fazê-lo aparecer como um processo do sistema.
WindowServer é um processo de sistema legítimo no macOS responsável por gerenciar a interface gráfica do usuário, portanto, o trojan visa se misturar às operações rotineiras do sistema e escapar do escrutínio do usuário.
O arquivo encarregado de iniciar o WindowServer na inicialização do sistema operacional é denominado “GoogleHelperUpdater.plist”, imitando um arquivo de configuração do Google, novamente, com o objetivo de ser ignorado pelo usuário.
Após o lançamento, o trojan se conecta ao seu servidor C2 (comando e controle) via DNS sobre HTTPS (DoH) para receber comandos relacionados à sua operação.
A Kaspersky não conseguiu observar esses comandos em ação, mas por meio de análise deduziu que o cliente suporta a criação de conexões TCP ou UDP para facilitar o proxy.
Além da campanha do macOS usando PKGs, a mesma infraestrutura C2 hospeda cargas de trojan proxy para arquiteturas Android e Windows, portanto, os mesmos operadores provavelmente têm como alvo uma ampla variedade de sistemas.
