Recentemente sono state osservate diverse applicazioni crackate distribuite da siti Web non autorizzati e caricate con un proxy trojan macOS.
In un post sul blog del 6 dicembre, i ricercatori di Kaspersky hanno affermato che gli aggressori utilizzano questo malware per fare soldi costruendo una rete di server proxy o per compiere atti criminali. Le attività includono il lancio di attacchi a siti Web, aziende e individui, nonché l’acquisto di armi, droga e altri beni illeciti
“Il malware individuato da Kaspersky”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “presenta diversi caratteri distintivi e dimostra l’interesse crescente degli attori malevoli nei sistemi macOS”.
Il trojan proxy sembra un programma legittimo nella fase di installazione. Ma, una volta riuscito ad infiltrarsi nel sistema dell’utente, installa un server proxy di nascosto, permettendo ai cyber criminali di effettuare il reindirizzamento del traffico di rete tramite il device compromesso.
La distribuzione del trojan attraverso programmi di installazione PKG o tramite disk image standard, gli permette l’esecuzione di operazioni arbitrarie prima e dopo l’installazione.
Secondo gli esperti, l’utilizzo del DNS-over-HTTPS (DoH) da parte del trojan all’interno del file WindowServer, che cela la comunicazione con il server di comando e controllo (C&C), assicura la protezione delle query DNS, registrando un incremento delle sue funzionalità di segretezza.
“Interessante”, infatti, conferma Paganini, “l’uso del DNS-over-HTTPS (DoH) da parte del trojan. Il protocollo di sicurezza crittografa le query e le risposte DNS, proteggendole da intercettazioni e manipolazioni e quindi garantendo un canale di comunicazione protetto con l’infrastruttura di comando e controllo. Singolare e poco comune anche l’uso del protocollo WebSocket”.
Il trojan tende infatti a stabilire una connessione con il server C&C sfruttando il protocollo WebSocket, una scelta inconsueta per i trojan proxy. L’uso di WebSocket permette al trojan di ricevere comandi in tempo reale dagli attori criminali, adattandosi così a situazioni mutevoli ed eludendo più efficacemente il rilevamento.
L’obiettivo finale della campagna è quello di lanciare il trojan proxy, che si maschera come processo WindowServer su macOS per eludere il rilevamento. WindowServer è oltre un processo di sistema centrale responsabile della gestione delle finestre e del rendering dell’interfaccia grafica (GUI) delle applicazioni.
“Gli aggressori possono utilizzare questo tipo di malware per guadagnare denaro costruendo una rete di server proxy o per compiere atti criminali per conto della vittima: lanciare attacchi a siti web, aziende e individui, acquistare armi, droga e altri beni illeciti”, ha commentato Sergey Puzan, ricercatore di sicurezza di Kaspersky.
Come proteggersi
“Nulla di nuovo, invece, per quanto concerne le tecniche di distribuzione del malware”, conclude Paganini: “Ancora una volta gli attaccanti prediligono versioni piratate di popolari software come vettore di infezione. Ciò implica che una corretta postura di sicurezza consentirebbe di evitare il rischio di infezione”.
Le versioni piratate di software legittimi non sono infatti solo illegali, perché violano il copyright e la proprietà intellettuale, ma sono soprattutto pericolose.
Infatti non bisogna mai scaricare copie pirata, ma effettuare il download di app e programmi solo da marketplace e siti ufficiali. Le applicazioni presenti su questi store non sono completamente sicure, rischiano infatti attacchi alle supply chain. Tuttavia ricevono un controllo da parte di addetti e sistemi di filtraggio. Infatti non tutte le app sono immesse in questi store.
Bisogna inoltre mantenere aggiornati i sistemi operativi e applicazioni, scaricando gli update appena resi disponibili. Infatti è possibile risolvere molti problemi di security attraverso l’installazione delle versioni aggiornate dei software.
Accanto alle applicazioni per macOS, Kaspersky ha scoperto vari sample pianificati per le piattaforme Android e Windows, funzionanti come trojan proxy e distribuiti con software pirata.
Per mitigare il rischio derivante da trojan e altri malware, occorre mantenere privati numero di telefono e indirizzo e-mail principale. Conviene creare un secondo account email o acquistare una SIM aggiuntiva per l’eCommerce e quando serve condividere dati con estranei.
È necessario infine modificare le impostazioni dei social network per migliorare la privacy. Infatti è possibile decidere se rendere visibile il proprio profilo e se gli altri utenti possono apporre tag, scrivendo messaggi. Attraverso la modifica delle configurazioni di privacy sui social media, è possibile evitare di essere disturbati da spammer e truffatori, sempre numerosi su ogni social.
