Naujas Trojos arklys žygiuoja į Mac pasinaudodamas nelegaliomis aplikacijomis

Kibernetiniai nusikaltėliai taikosi į „Mac“ vartotojus naudodami naują Trojos arklį, susietą su populiaria, autorių teisių saugoma „macOS“ programine įranga, (nelegaliai) siūloma įvairiose svetainėse.

Tarpinio serverio (Proxy) Trojos arklys užkrečia kompiuterius ir paverčia juos srauto peradresavimo terminalais, naudojamais anonimizuoti kenkėjišką ar nelegalią veiklą, pvz., įsilaužimą, sukčiavimą ir neteisėtų prekių sandorius.

Prieigos prie tarpinių serverių pardavimas yra pelningas verslas, pagimdęs didžiulius „botnet“^[1] tinklus, o „Mac“ įrenginiai taip pat yra įtraukti į šią plačiai paplitusią veiklą.

Komplektuojamas su nelegaliomis populiarių aplikacijų versijomis

„Kaspersky“ specialistai aptiko naujausią tarpinio serverio kenkėjiškų programų kampaniją, kuri naudojasi žmonių noru rizikuoti savo kompiuterio saugumu ir diegti nelegalias aplikacijų versijas.

„Kaspersky“ rado 35 vaizdų redagavimo, vaizdo įrašų glaudinimo ir redagavimo, duomenų atkūrimo ir tinklo skenavimo aplikacijas, kuriose buvo apgyvendintas Trojos arklys.

Populiariausia šios kampanijos trojanizuota programinė įranga yra:

• 4K Video Donwloader Pro
• Aissessoft Mac Data Recovery
• Aiseesoft Mac Video Converter Ultimate
• AnyMP4 Android Data Recovery for Mac
• Downie 4
• FonePaw Data Recovery
• Sketch
• Wondershare UniConverter 13
• SQLPro Studio
• Artstudio Pro

„Kaspersky“ teigia, kad skirtingai nei teisėta programinė įranga, kuri platinama kaip disko vaizdai (.dmg), Trojos arkliu „apsirūpinusios“ aplikacijų versijos platinamos kaip .pkg failai.

Palyginti su disko vaizdo failais, kurie yra standartinė šių aplikacijų diegimo terpė, PKG failai yra daug rizikingesni, nes diegiant aplikaciją jie gali papildomai vykdyti skriptus.

Kadangi diegimo failai vykdomi administratoriaus teisėmis, bet kokie jų vykdomi skriptai įgyja tas pačias teises, kai atliekami pavojų keliantys veiksmai, įskaitant failo modifikavimą, failo automatinį paleidimą ir komandų vykdymą.

Įdiegus aplikaciją, įterptieji skriptai suaktyvinami, paleidžiamas Trojos arklys, „WindowServer“ failas, ir padaroma, kad tai būtų rodoma kaip sistemos procesas.

„WindowServer“ yra „macOS“ sistemos procesas, atsakingas už grafinės vartotojo sąsajos valdymą, taip Trojos arklys siekia susilieti su įprastomis sistemos operacijomis ir išvengti aptikimo.

Failas, kuriam pavesta paleisti „WindowServer“ paleidus OS, pavadintas „GoogleHelperUpdater.plist“, vėlgi imituojantis „Google“ konfigūracijos failą, kad vartotojas jo nepastebėtų.

Paleidus Trojos arklys prisijungia prie savo C2 (komandų ir valdymo) serverio per DNS-over-HTTPS (DoH), kad gautų su jo veikimu susijusias komandas.

„Kaspersky“ negalėjo stebėti šių komandų veikimo, tačiau atlikusi analizę padarė išvadą, kad klientas palaiko TCP arba UDP ryšius tarpinio serverio sukūrimui.

Be „macOS“ kampanijos, kurioje naudojami PKG, ta pati C2 infrastruktūra taikoma ir „Android“ bei „Windows“ architektūroms su joms skirtais Trojos arkliais, todėl tie patys Trojos arklių važnyčiotojai greičiausiai taikosi į daugybę sistemų iš karto.

Didžiausia problema tokio kenkėjo yra ta, kad kompiuterio naudotojas gali ir nepastebėti, kad savo sistemoje priglaudė Trojos arklį. Dažniausiai jis nešifruoja duomenų, netrina failų ir nevykdo jokios pastebimos veiklos. Naudotojas gali ramiai naudotis kompiuteriu kol vieną dieną pas jį pro duris ir langus suvirs „Aro“ pareigūnai, o išeidami išsineš visus kompiuterius, telefonus ir kitą kompiuterinę techniką… nes iš naudotojo kompiuterio (IP adreso) buvo atliekama nusikalstama veikla. Tada ilgas „tampymasis“, teisinimasis ir panašiai, gal net naujų kompiuterių, išorinių diskų, telefonų, „iPad“ pirkimas, nes senieji kaip nusikaltimo įrankis, nebus grąžinti. Ir viskas dėl keliasdešimt sutaupotų eurų norint turėti aplikaciją, bet nenorint už ją mokėti.