Malware proxy troyano

Los sitios web fraudulentos que funcionan como plataformas para software pirateado han sido identificados como la principal fuente de aplicaciones troyanizadas que infectan a los usuarios de macOS con un novedoso malware Trojan-Proxy. Este malware permite a los atacantes generar ingresos estableciendo una red de servidores proxy o participando en actividades ilícitas en nombre de la víctima. Dichas actividades pueden incluir el lanzamiento de ataques a sitios web, empresas e individuos, así como la compra de armas de fuego, drogas y otros artículos ilegales.

Los expertos en ciberseguridad han descubierto evidencia que sugiere que este malware representa una amenaza multiplataforma. Esto se ve corroborado por artefactos descubiertos tanto para sistemas Windows como Android, que estaban asociados con herramientas pirateadas.

El malware Trojan-Proxy es capaz de infectar dispositivos macOS

Las variantes de macOS de la campaña se difundieron haciéndose pasar por herramientas legítimas de multimedia, edición de imágenes, recuperación de datos y productividad. Esto indica que los individuos que buscan software pirateado se convierten en el foco del ataque. A diferencia de sus homólogos auténticos, que se distribuyen como archivos de imagen de disco (.DMG), las versiones falsificadas se suministran como instaladores .PKG. Estos instaladores incluyen un script posterior a la instalación que desencadena actividades maliciosas después del proceso de instalación. Dado que los instaladores suelen solicitar permisos de administrador, el script ejecutado hereda estos permisos.

El objetivo final de la campaña es liberar el Trojan-Proxy, que se disfraza como el proceso WindowServer en macOS para eludir la detección. WindowServer sirve como un proceso fundamental del sistema responsable de administrar Windows y representar la interfaz gráfica de usuario (GUI) de las aplicaciones.

Trojan-Proxy espera sigilosamente instrucciones de los atacantes

Tras su ejecución en el dispositivo comprometido, el malware intenta adquirir la dirección IP del servidor de comando y control (C2) para conectarse a través de DNS sobre HTTPS (DoH). Esto se logra cifrando las solicitudes y respuestas de DNS mediante el protocolo HTTPS.

Posteriormente, el Trojan-Proxy establece comunicación con el servidor C2, a la espera de nuevas instrucciones. Procesa los mensajes entrantes para extraer información como la dirección IP a la que conectarse, el protocolo a emplear y el mensaje a transmitir. Esto significa su capacidad para funcionar como proxy a través de TCP o UDP, redirigiendo el tráfico a través del host infectado.

Según la información proporcionada por los investigadores, el malware Trojan-Proxy se remonta al 28 de abril de 2023. Para contrarrestar tales amenazas, se recomienda encarecidamente a los usuarios que intenten no descargar software de fuentes no confiables.

Las amenazas troyanas podrían programarse para ejecutar una amplia gama de acciones inseguras

El malware troyano plantea un conjunto diverso de riesgos para los usuarios debido a su naturaleza engañosa y multifacética. Se recomienda encarecidamente a los usuarios que implementen un enfoque de seguridad integral en sus dispositivos o corren el riesgo de sufrir consecuencias importantes en caso de una infección troyana:

• Cargas útiles ocultas : los troyanos se disfrazan de software o archivos legítimos, engañando a los usuarios para que instalen código malicioso sin saberlo. Las cargas útiles ocultas pueden incluir ransomware, software espía, registradores de pulsaciones de teclas u otros tipos de software destructivo.
• Robo de datos : los troyanos a menudo tienen como objetivo recopilar información particular, incluidas credenciales de inicio de sesión, datos financieros o detalles personales. Esta información recopilada puede explotarse para diversos fines inseguros, incluido el robo de identidad, el fraude financiero o el acceso no autorizado a cuentas confidenciales.
• Acceso remoto : algunos troyanos están diseñados para otorgar acceso remoto no autorizado a un atacante. Una vez que se implementa el troyano, el atacante obtiene control sobre el sistema infectado, lo que le permite manipular archivos, instalar malware adicional o incluso utilizar el dispositivo comprometido en ataques a mayor escala.
• Formación de botnets : los troyanos pueden contribuir a la creación de botnets. Las botnets son redes de computadoras manipuladas controladas por una sola entidad. Estas botnets se pueden emplear para diversas actividades inseguras, como lanzar ataques de denegación de servicio distribuido (DDoS), difundir spam o participar en otras ciberamenazas coordinadas.
• Daño al sistema : los troyanos pueden programarse para causar daño directo al sistema de un usuario al eliminar archivos, modificar configuraciones o dejar el sistema inoperable. Esto puede provocar una pérdida significativa de datos e interrumpir las actividades informáticas normales.
• Servicios proxy : ciertos troyanos funcionan como servidores proxy, lo que permite a los atacantes dirigir su tráfico de Internet a través del sistema infectado. Esto puede aprovecharse para realizar actividades maliciosas y al mismo tiempo ocultar el verdadero origen de los ataques, lo que dificulta que las autoridades puedan rastrear el origen.
• Propagación de otro malware : los troyanos suelen servir como vehículos para distribuir otros tipos de malware. Una vez dentro de un sistema, pueden descargar e instalar software malicioso adicional, lo que agrava las amenazas que enfrenta el usuario.

Para mitigar los riesgos asociados con el malware troyano, se recomienda a los usuarios que empleen prácticas sólidas de ciberseguridad, incluido el uso de software antimalware confiable, actualizaciones periódicas del sistema y tener precaución al descargar archivos o hacer clic en enlaces, especialmente de fuentes no confiables.