I ricercatori di Kaspersky hanno scoperto un nuovo malware per macOS che viene distribuito tramite software pirata. Quando infettati, i Mac diventano parte di una rete di server proxy che i cybercriminali utilizzano per varie attività illegali. La stessa infrastruttura C2 (command and control) può ospitare payload per Windows e Android.
Proxy trojan in 35 software pirata
La distribuzione di malware tramite software pirata è uno dei metodi più utilizzati. Gli utenti scaricano le applicazioni dai siti di warez, spesso disattivando le protezioni di sicurezza, per evitare il pagamento della licenza. Il proxy trojan è stato trovato da Kaspersky in 35 software di editing delle immagini, compressione video, recupero dati e scansione della rete.
Gli installer dei software legittimi per macOS sono in formato DMG. Quelli che nascondono il malware sono in formato PKG, in quanto permettono ai cybercriminali di eseguire script, prima o dopo l’effettiva installazione. Dato che l’installazione avviene con diritti di amministratore, gli script hanno gli stessi permessi, quindi possono eseguire numerose azioni pericolose.
In questo caso, uno script copia sul Mac due file. Il primo (p.plist
o GoogleHelperUpdater.plist
) contiene la configurazione del secondo (WindowServer
). Quest’ultimo ha lo stesso nome di un processo di sistema che gestisce l’interfaccia grafica di macOS, ma si tratta del proxy trojan che riceve i comandi dal server C2 tramite servizio DNS-over-HTTPS (DoH).
I Mac infettati diventano così server proxy che i cybercriminali usano per nascondere il vero indirizzo IP e quindi effettuare il forwarding del traffico durante le loro attività, tra cui attacchi di phishing e transazioni relative all’acquisto di armi, droga e altri prodotti illegali.