Троянские программы в macOS: как защититься от новой угрозы
Злоумышленники нацелились на пользователей Mac, распространяя новый троянский вирус через популярные приложения для macOS. Этот троян превращает зараженные устройства в узлы для пересылки трафика, используемого для скрытых злодеяний, включая взломы и фишинг.
Специалисты из Kaspersky выявили эту кампанию в различных программах, в том числе для обработки изображений, сжатия и монтажа видео, восстановления данных и анализа сети. Среди зараженных приложений были такие, как 4K Video Downloader Pro, Aissessoft Mac Data Recovery, Aiseesoft Mac Video Converter Ultimate и другие.
Отличие между законными и зараженными версиями программ в том, что последние предлагаются в формате PKG-файлов, обрабатываемых инструментом Installer в macOS. Эти установщики PKG могут запускать скрипты до и после установки приложения. В данном случае вредоносные скрипты активируются после установки, запуская зловредный файл WindowServer и конфигурационный файл p.plist, маскируя свою активность под системный процесс.
После активации троян создает логи и пытается связаться с сервером управления (C2) через DNS-over-HTTPS (DoH), скрывая запросы от инструментов мониторинга. Он соединяется с C2, отправляет свою версию и ожидает команды.
Хотя лаборатория Kaspersky не смогла обнаружить активные команды, анализ показал, что троян может создавать TCP или UDP-соединения для проксирования трафика. Интересно, что помимо приложений для macOS были найдены аналогичные образцы для Android и Windows, также работающие как прокси-трояны и скрытно распространяемые с взломанным ПО.