Hakeri koriste pristup Windows i macOS mašinama zaraženim malware-om da isporuče aplikaciju proxy servera i koriste ih kao izlazne čvorove za preusmjeravanje proxy zahtjeva.
Prema AT&T Alien Labs-u, neimenovana kompanija koja nudi proxy uslugu upravlja sa više od 400.000 izlaznih čvorova proxy servera, iako nije odmah jasno koliko ih je kooptirao malware instaliran na zaraženim mašinama bez znanja i interakcije korisnika.
“Iako proxy web stranica tvrdi da njeni izlazni čvorovi dolaze samo od korisnika koji su obaviješteni i pristali na korištenje njihovog uređaja”, kompanija za kibernetičku sigurnost je rekla da je pronašla dokaz da “pisci malware-a tiho instaliraju proxy u zaražene sisteme.”
Primijećeno je da više porodica malware-a isporučuje proxy korisnicima koji traže krekovani softver i igre. Proxy softver, napisan u programskom jeziku Go, može ciljati i Windows i macOS, pri čemu prvi može izbjeći otkrivanje korištenjem važećeg digitalnog potpisa.
Pored primanja daljih instrukcija od udaljenog servera, proxy je konfigurisan da prikuplja informacije o hakovanim sistemima, uključujući pokrenute procese, korišćenje CPU-a i memorije i status baterije. Štaviše, instalacija proxy softvera je praćena uvođenjem dodatnih malware ili adware elemenata.
“Monetizacija malware-a koji širi proxy servere kroz partnerski program je problematična, jer stvara formalnu strukturu za povećanje brzine kojom će se ova prijetnja širiti”, rekao je istraživač sigurnosti Ofer Caspi.
Otkrivanje se temelji na prethodnim nalazima AT&T-a u kojima se macOS mašine koje je kompromitovao AdLoad adware-a spajaju u džinovski, rezidencijalni proxy botnet, povećavajući mogućnost da bi operateri AdLoad-a mogli voditi kampanju plaćanja po instalaciji.
AdLoad je jedan od najvećih poznatih sojeva adware-a koji ciljaju macOS. Poznat po tome da se lažno predstavlja kao popularni video plejeri i druge široko korišćene aplikacije, Adload otima pretraživače i tjera žrtve da posećuju potencijalno maliciozne veb lokacije, omogućavajući sajber kriminalcima da profitiraju od šema.
„Prodorna priroda AdLoad-a koji potencijalno inficira hiljade uređaja širom svijeta — ukazuje na to da su korisnici MacOS uređaja unosna meta za protivnike koji stoje iza ovog malware-a i da su prevareni da preuzmu i instaliraju neželjene aplikacije“, kažu iz kompanije.
“Porast malware-a koji isporučuje proxy aplikacije kao unosnu investiciju, olakšan partnerskim programima, naglašava lukavu prirodu taktike protivnika. Ovi proksiji, prikriveno instalirani putem privlačnih ponuda ili kompromitovanog softvera, služe kao kanali za neovlaštenu finansijsku dobit.”
Razvoj dolazi kada macOS sistemi sve više postaju cijenjena meta, a dark web svjedoči porastu od 1000% hakera koji reklamiraju sojeve kradljivaca informacija i sofisticirane alate koji mogu zaobići sigurnosne funkcije macOS-a, odnosno Gatekeeper i Transparency, Consent and Control (TCC) od 2019.
“U 2022. i prvoj polovini 2023. godine, aktivnost ciljanja macOS-a je intenzivirana”, navodi Accenture u izvještaju objavljenom ovog mjeseca.
“Kombinacija sve veće upotrebe macOS-a u korporativnim okruženjima, visoke potencijalne zarade hakera voljnih i sposobnih da ciljaju macOS i rastuće potražnje za macOS alatima i robom sugerišu da će se ovaj trend nastaviti.”
Rumunska kompanija za kibernetičku sigurnost Bitdefender, u svom vlastitom macOS Threat Landscape Report-u, navela je da su korisnici Mac-a uglavnom bili na meti tri ključne prijetnje u protekloj godini: trojanci (51,8%), potencijalno neželjene aplikacije (25,3%) i Adware (22,6%).
“EvilQuest ostaje pojedinačno najčešći malware koji cilja Macove sa 52,7%”, napominje se. “Trojanci dizajnirani za iskorištavanje nezakrpljenih ranjivosti predstavljaju stvarnu opasnost za korisnike koji obično odgađaju instaliranje najnovijih sigurnosnih zakrpa Apple-a.”
Izvor: The Hacker News