Gli utenti Mac sono diventati il bersaglio di un nuovo malware proxy trojan, distribuito tramite software macOS popolare e protetto da copyright offerto su siti warez. Questo malware trasforma i computer in terminali di inoltro del traffico utilizzati per anonimizzare attività illecite o dannose, come hacking, phishing e transazioni di beni illeciti.
Dettagli del Malware Proxy Trojan
Software Infetti: Kaspersky ha scoperto che 35 strumenti di editing di immagini, compressione e editing video, recupero dati e strumenti di scansione di rete sono stati infettati con il trojan proxy per attirare utenti in cerca di versioni gratuite di software commerciali.
Software Popolari Infetti: Tra i software più popolari infettati ci sono 4K Video Downloader Pro, Aiseesoft Mac Data Recovery, AnyMP4 Android Data Recovery for Mac, Downie 4, FonePaw Data Recovery, Sketch, Wondershare UniConverter 13, SQLPro Studio e Artstudio Pro.
Distribuzione tramite File PKG: A differenza del software legittimo, distribuito come immagini disco, le versioni trojanizzate vengono scaricate come file PKG. Questi file sono più rischiosi in quanto possono eseguire script durante l’installazione dell’app.
Funzionamento e Impatto del Malware
- Esecuzione di Script: Durante l’installazione, gli script incorporati vengono attivati per eseguire il trojan, un file WindowServer, e farlo apparire come un processo di sistema.
- Mascheramento come Processo di Sistema: WindowServer è un processo di sistema legittimo in macOS responsabile della gestione dell’interfaccia grafica utente. Il trojan mira a mimetizzarsi con le operazioni di sistema di routine per evitare il controllo dell’utente.
- Lancio Automatico: Il file incaricato di avviare WindowServer all’avvio del sistema operativo è nominato “GoogleHelperUpdater.plist”, imitando un file di configurazione di Google, per essere trascurato dall’utente.
- Connessione al Server C2: Al lancio, il trojan si connette al suo server C2 (command and control) tramite DNS-over-HTTPS (DoH) per ricevere comandi relativi al suo funzionamento.
Implicazioni e Precauzioni
Questo attacco sottolinea l’importanza di evitare il download di software piratato e di prestare attenzione ai tipi di file scaricati e installati. Gli utenti Mac devono essere consapevoli dei rischi associati all’installazione di software da fonti non affidabili e che il malware è sempre dietro l’angolo ed il rischio di un trojan che trasformi in proxy i dispositivi è sempre concreto.