Kaspersky scopre nuovo trojan proxy per macOS distribuito grazie a un software illegale

Kaspersky ha individuato un sofisticato trojan proxy progettato per compromettere il sistema operativo macOS, che viene distribuito tramite versioni piratate di software legittimi, rappresentando un serio rischio per gli utenti alla ricerca di metodi alternativi per ottenere le applicazioni.

Il trojan proxy si presenta come un programma legittimo in fase di installazione e, una volta infiltratosi nel sistema dell’utente, installa di nascosto un server proxy, consentendo ai criminali informatici di reindirizzare il traffico di rete attraverso il device compromesso. La distribuzione del trojan tramite programmi di installazione PKG, piuttosto che tramite disk image standard, gli consente di eseguire operazioni arbitrarie prima e dopo l’installazione.

Come rivelato dagli esperti, l'uso del DNS-over-HTTPS (DoH) da parte del trojan all'interno del file WindowServer, che nasconde la comunicazione con il server di comando e controllo (C&C), garantisce la protezione delle query DNS, aumentando le sue funzionalità di segretezza.

Inoltre, il trojan stabilisce una connessione con il server C&C utilizzando il protocollo WebSocket, una scelta insolita per i trojan proxy che distingue questo caso dagli altri. L'uso di WebSocket consente al trojan di ricevere comandi in tempo reale dai criminali informatici, adattandosi così a situazioni mutevoli ed eludendo più efficacemente il rilevamento.

Oltre alle applicazioni per macOS, i ricercatori hanno identificato anche diversi sample progettati per le piattaforme Android e Windows, che funzionano come trojan proxy e sono distribuiti con software pirata.

“I criminali informatici sfruttano da sempre gli utenti che cercano software a costo zero attraverso versioni contraffatte contenenti malware. La nostra nuova scoperta conferma questa minaccia, soprattutto se si considera che il trojan proxy dimostra avanzate abilità nel nascondere le proprie attività. Per proteggersi dai trojan, gli utenti macOS dovrebbero affidarsi a un software di sicurezza affidabile ed essere prudenti quando si effettuano i download, attenendosi a fonti ufficiali ed evitando i software contraffatti”, ha dichiarato Sergey Puzan, Security Researcher di Kaspersky.