Logiciel malveillant cheval de Troie-proxy
Les sites Web malveillants fonctionnant comme des plates-formes pour les logiciels piratés ont été identifiés comme la principale source d'applications trojanisées qui infectent les utilisateurs de macOS avec un nouveau malware Trojan-Proxy. Ce malware permet aux attaquants de générer des revenus en établissant un réseau de serveurs proxy ou en se livrant à des activités illicites au nom de la victime. Ces activités peuvent inclure le lancement d’attaques contre des sites Web, des entreprises et des individus, ainsi que l’achat d’armes à feu, de drogues et d’autres articles illégaux.
Les experts en cybersécurité ont découvert des preuves suggérant que ce malware constitue une menace multiplateforme. Ceci est corroboré par les artefacts découverts pour les systèmes Windows et Android, associés à des outils piratés.
Table des matières
Le logiciel malveillant cheval de Troie-Proxy est capable d'infecter les appareils macOS
Les variantes macOS de la campagne se sont propagées en se faisant passer pour des outils légitimes de multimédia, d'édition d'images, de récupération de données et de productivité. Cela indique que les individus recherchant des logiciels piratés deviennent le point central de l'attaque. Contrairement à leurs homologues authentiques, qui sont distribués sous forme de fichiers d'image disque (.DMG), les versions contrefaites sont fournies sous forme d'installateurs .PKG. Ces programmes d'installation incluent un script de post-installation qui déclenche des activités malveillantes après le processus d'installation. Étant donné que les installateurs demandent généralement des autorisations d'administrateur, le script exécuté hérite de ces autorisations.
L'objectif ultime de la campagne est de libérer le cheval de Troie-Proxy, qui se déguise en processus WindowServer sur macOS pour échapper à la détection. WindowServer sert de processus système fondamental responsable de la gestion de Windows et du rendu de l'interface utilisateur graphique (GUI) des applications.
Trojan-Proxy attend furtivement les instructions des attaquants
Lors de son exécution sur l'appareil compromis, le logiciel malveillant tente d'acquérir l'adresse IP du serveur de commande et de contrôle (C2) pour une connexion via DNS-over-HTTPS (DoH). Ceci est réalisé en cryptant les requêtes et les réponses DNS à l'aide du protocole HTTPS.
Le cheval de Troie-Proxy établit ensuite la communication avec le serveur C2, dans l'attente d'instructions supplémentaires. Il traite les messages entrants pour extraire des informations telles que l'adresse IP à laquelle se connecter, le protocole à utiliser et le message à transmettre. Cela signifie sa capacité à fonctionner comme un proxy via TCP ou UDP, redirigeant le trafic via l'hôte infecté.
Selon les informations fournies par les chercheurs, le malware Trojan-Proxy remonte au 28 avril 2023. Pour contrer ces menaces, il est fortement conseillé aux utilisateurs d'essayer de ne pas télécharger de logiciels à partir de sources non fiables.
Les menaces de chevaux de Troie pourraient être programmées pour exécuter un large éventail d'actions dangereuses
Les chevaux de Troie malveillants présentent un ensemble diversifié de risques pour les utilisateurs en raison de leur nature trompeuse et multiforme. Il est fortement conseillé aux utilisateurs de mettre en œuvre une approche de sécurité globale sur leurs appareils, sous peine de subir des conséquences importantes en cas d'infection par un cheval de Troie :
- Charges utiles dissimulées : les chevaux de Troie se déguisent en logiciels ou fichiers légitimes, incitant les utilisateurs à installer involontairement du code malveillant. Les charges utiles dissimulées peuvent inclure des ransomwares, des logiciels espions, des enregistreurs de frappe ou d'autres types de logiciels destructeurs.
- Vol de données : les chevaux de Troie visent souvent à collecter des informations particulières, notamment des identifiants de connexion, des données financières ou des informations personnelles. Ces informations collectées peuvent être exploitées à diverses fins dangereuses, notamment le vol d'identité, la fraude financière ou l'accès non autorisé à des comptes sensibles.
- Accès à distance : certains chevaux de Troie sont conçus pour accorder un accès à distance non autorisé à un attaquant. Une fois le cheval de Troie déployé, l'attaquant prend le contrôle du système infecté, ce qui lui permet de manipuler des fichiers, d'installer des logiciels malveillants supplémentaires ou même d'utiliser l'appareil compromis dans le cadre d'attaques à plus grande échelle.
- Formation de botnets : les chevaux de Troie peuvent contribuer à la création de botnets. Les botnets sont des réseaux d'ordinateurs falsifiés contrôlés par une seule entité. Ces botnets peuvent être utilisés pour diverses activités dangereuses, telles que le lancement d'attaques par déni de service distribué (DDoS), la diffusion de spam ou la participation à d'autres cybermenaces coordonnées.
- Dommages au système : les chevaux de Troie peuvent être programmés pour causer des dommages directs au système d'un utilisateur en supprimant des fichiers, en modifiant des paramètres ou en rendant le système inutilisable. Cela peut entraîner une perte de données importante et perturber les activités informatiques normales.
- Services proxy : certains chevaux de Troie fonctionnent comme des serveurs proxy, permettant aux attaquants d'acheminer leur trafic Internet via le système infecté. Cela peut être exploité pour mener des activités malveillantes tout en cachant la véritable source des attaques, ce qui rend difficile pour les autorités d'en retracer l'origine.
- Propagation d'autres logiciels malveillants : les chevaux de Troie servent souvent de véhicules pour diffuser d'autres types de logiciels malveillants. Une fois à l’intérieur d’un système, ils peuvent télécharger et installer des logiciels malveillants supplémentaires, aggravant ainsi les menaces auxquelles l’utilisateur est confronté.
Pour atténuer les risques associés aux chevaux de Troie malveillants, il est conseillé aux utilisateurs d'employer des pratiques de cybersécurité robustes, notamment l'utilisation d'un logiciel anti-malware réputé, des mises à jour régulières du système et la prudence lorsqu'ils téléchargent des fichiers ou cliquent sur des liens, en particulier provenant de sources non fiables.
