يستهدف مجرمو الإنترنت مستخدمي Mac من خلال برنامج ضار جديد من نوع طروادة للخادم الوكيل مزود ببرامج macOS الشهيرة والمحمية بحقوق الطبع والنشر والتي يتم تقديمها على مواقع Warez.

تصيب البرامج الضارة لبروكسي طروادة أجهزة الكمبيوتر، وتحولها إلى محطات طرفية لإعادة توجيه حركة المرور تستخدم لإخفاء هوية الأنشطة الضارة أو غير القانونية مثل القرصنة والتصيد الاحتيالي والمعاملات الخاصة بالسلع غير المشروعة.

يعد بيع الوصول إلى الوكلاء  عملاً مربحًا  أدى إلى ظهور  شبكات الروبوتات الضخمة ، مع عدم استثناء أجهزة Mac   من هذا النشاط واسع النطاق.

اكتشفت  Kaspersky أحدث حملة تدفع البرامج الضارة للخادم الوكيل ، والتي تشير إلى أن أول إرسال للحمولة على VirusTotal يعود إلى 28 أبريل 2023.

تستفيد الحملة من رغبة الأشخاص في المخاطرة بأمن أجهزة الكمبيوتر الخاصة بهم لتجنب الدفع مقابل التطبيقات المتميزة.

عثرت شركة Kaspersky على 35 أداة لتحرير الصور، وضغط الفيديو وتحريره، واستعادة البيانات، ومسح الشبكة، متضمنة مع حصان طروادة الوكيل لإغراء المستخدمين الذين يبحثون عن إصدارات مجانية من البرامج التجارية.

أشهر برامج طروادة في هذه الحملة هي:

4K Video Donwloader Pro
Aissessoft Mac Data Recovery
Aiseesoft Mac Video Converter Ultimate
AnyMP4 Android Data Recovery for Mac
Downie 4
FonePaw Data Recovery
Sketch
Wondershare UniConverter 13
SQLPro Studio
Artstudio Pro

يقول Kaspersky إنه على عكس البرامج الشرعية، التي يتم توزيعها كصور قرص، يتم تنزيل إصدارات طروادة كملفات PKG.

بالمقارنة مع ملفات صور القرص، والتي تعد وسيلة التثبيت القياسية لهذه البرامج، تعد ملفات PKG أكثر خطورة حيث يمكنها تنفيذ البرامج النصية أثناء تثبيت التطبيق.

نظرًا لأن ملفات التثبيت يتم تنفيذها باستخدام حقوق المسؤول، فإن أي برامج نصية يتم تنفيذها تحصل على نفس الأذونات عند تنفيذ إجراءات خطيرة، بما في ذلك تعديل الملف والتشغيل التلقائي للملف وتنفيذ الأوامر.

في هذه الحالة، يتم تنشيط البرامج النصية المضمنة بعد تثبيت البرنامج لتنفيذ حصان طروادة، وهو ملف WindowServer، وإظهاره كعملية نظام.

تُعد WindowServer عملية نظام مشروعة في نظام التشغيل macOS مسؤولة عن إدارة واجهة المستخدم الرسومية، لذا يهدف حصان طروادة إلى الاندماج مع عمليات النظام الروتينية والتهرب من تدقيق المستخدم.

يُطلق على الملف المكلف بتشغيل WindowServer عند بدء تشغيل نظام التشغيل اسم "GoogleHelperUpdater.plist"، وهو يحاكي ملف تكوين Google، مرة أخرى، بهدف أن يتجاهله المستخدم.

عند الإطلاق، يتصل حصان طروادة بخادم C2 (القيادة والتحكم) الخاص به عبر DNS-over-HTTPS (DoH) لتلقي الأوامر المتعلقة بتشغيله.

بالإضافة إلى حملة macOS التي تستخدم PKGs، تستضيف نفس البنية التحتية لـ C2 حمولات طروادة الوكيل لمعماريات Android وWindows، لذلك من المحتمل أن يستهدف نفس المشغلين مجموعة واسعة من الأنظمة.

المصدر: BleepingComputer