卡巴斯基称破解的macOS软件隐含特洛伊木马

新发现的由未经授权的网站分发的破解应用程序正在向寻找免费或廉价版本软件工具的macOS用户提供特洛伊木马代理恶意软件。

恶意软件可能被不良行为者用于一系列恶意活动，包括入侵系统或进行网络钓鱼活动。

卡巴斯基的威胁情报研究员Sergey Puzan在本周的一份报告中写道：“攻击者可以使用这种类型的恶意软件通过建立代理服务器网络来获利，或者代表受害者进行犯罪行为：对网站、公司和个人发动攻击，购买枪支、毒品和其他非法商品。”。

跨平台恶意软件的版本包括Windows和Android的元素，是威胁组织通过从此类未经授权的网站下载的破解应用程序针对macOS用户的最新努力。

天下没有免费午餐

Puzan写道：“通常，用户不愿意为他们需要的软件工具付费，所以他们在网上搜索‘免费午餐’。”。“对于网络犯罪分子来说，他们是一个很好的目标，因为他们意识到，寻找破解应用程序的人会愿意从有问题的网站下载安装程序，并禁用他们机器上的安全功能，因此他们也很容易被诱骗安装恶意软件。”

他指出，原始和未更改的应用程序通常以磁盘映像的形式分布。然而，受感染的版本出现了。PKG安装人员。

Puzan写道：“这些文件由macOS中的安装程序专用工具处理，它们可以在实际安装前后运行脚本。”。“在我们收集的示例中，只有在安装应用程序后才运行脚本。”

特洛伊木马代理恶意软件的脚本代码包含两个可疑文件——WindowsServer和p.plist——它们与破解的应用程序资源一起提供。该脚本将两个合法文件替换为resources文件夹中的这两个文件，并授予管理员对可疑文件的权限。

他写道：“由于安装程序经常请求管理员权限来运行，安装程序进程运行的脚本会继承这些权限。”。p.plist（或GoogleHelperUpdater.plist）是一个配置文件。它的内容表明它模仿了谷歌的配置文件，并且只有一个作业：自动启动WindowServer文件，路径设置为$｛VAR｝，作为加载操作系统后的系统进程。

伪装WindowServer

恶意软件被做成WindowServer，一个通用格式的二进制文件，以隐藏其存在，这似乎是有效的。卡巴斯基的研究人员发现了该应用程序的几个版本，包括4月28日上传到VirusTotal的早期版本。Puzan写道，没有一个版本被网络安全供应商标记为恶意。

恶意软件找到了几种隐藏自己的方法。特洛伊木马启动后，它会创建一个日志文件，并试图通过HTTPS上的DNS（DoH）获取命令和控制（C2）服务器的IP地址，这使DNS请求看起来像一个常规的HTTPS请求，从而使其对流量监控工具隐藏。一旦得到响应，恶意软件就会通过WebSocket发送应用程序版本并等待带有消息的命令，从而创建与C2服务器的连接。

隐藏恶意软件

Menlo security首席安全架构师Lionel Litty表示，使用DoH和WebSockets表明，老练的黑客希望避开企业部署的基于网络的检测工具。

Litty在一封电子邮件中告诉Security Boulevard：“DoH通常意味着恶意软件可以逃避那些为IOC查看DNS流量的产品的检测，因为DNS流量现在被包裹在HTTPS连接中，这些连接可能不会被检查，或者被不理解DoH语义的解决方案检查。”。“同样，检查HTTPS流量的网络设备可能不理解WebSocket语义，并且可能无法运行针对恶意软件使用的[C2]流量有效负载的基于签名的检测。”

Puzan写道，除了针对macOS的应用程序，Kasperky还发现了类似的特洛伊木马代理，这些代理隐藏在连接到同一C2服务器的Android和Windows破解软件中。

连锁反映

Critical Start网络威胁研究高级经理Callie Guenther称，在流行软件的破解版本中嵌入恶意软件是“针对macOS系统的网络威胁的惊人趋势”，此类安全事件会产生连锁反应。

Guenther在一封电子邮件中告诉security Boulevard：“对于macOS用户来说，主要的含义是在安全性方面的重大妥协。”。“用户在不知情的情况下安装了此特洛伊木马代理，无意中将其设备变成了进行非法活动的节点。这些活动包括黑客攻击和网络钓鱼，以及为非法商品交易提供便利。”

这种影响也波及到其他网络。

原文链接：https://securityboulevard.com/2023/12/trojan-malware-hidden-in-cracked-macos-software-kaspersky-says/