Cybersicherheitsbedrohungen entwickeln sich weiter und die neueste Bedrohung für Mac-Benutzer betrifft hochentwickelte Proxy-Trojaner-Malware. Diese Schadsoftware lauert in scheinbar harmlosen Downloads beliebter macOS-Anwendungen und stellt ein erhebliches Risiko für die Sicherheit Ihres Geräts dar.
Die Bedrohung durch Proxy-Trojaner verstehen: Proxy-Trojaner-Malware verwandelt infizierte Computer heimlich in unwissende Knotenpunkte für die Weiterleitung des Datenverkehrs. Diese Terminals werden dann verwendet, um illegale Aktivitäten wie Hacking und Phishing zu anonymisieren und Transaktionen für illegale Waren zu ermöglichen. Die heimtückische Natur dieser Malware liegt in ihrer Fähigkeit, ihre Präsenz zu verbergen und gleichzeitig Ihr Gerät für schädliche Zwecke auszunutzen.
Der gefährliche Köder
Die Cyberkriminellen, die diese Kampagne inszenieren, machen Jagd auf Benutzer, die nach kostenlosen Alternativen zu Premium-Software suchen. Kaspersky hat einen besorgniserregenden Trend aufgedeckt, bei dem 35 weit verbreitete Anwendungen, darunter Bildbearbeitungsprogramme, Videokonverter und Datenwiederherstellungstools, mit dem Proxy-Trojaner infiziert waren. Einige bemerkenswerte Namen unter der kompromittierten Software sind:
- 4K-Video-Downloader Pro
- Aiseesoft Mac Video Converter Ultimate
- Aissessoft Mac-Datenwiederherstellung
- AnyMP4 Android-Datenwiederherstellung für Mac
- Artstudio Pro
- AweCleaner
- Downie 4
- FonePaw-Datenwiederherstellung
- MacDroid
- MacX Video Converter Pro
- NetShred X
- Pfadfinder
- Projektbüro X
- Skizzieren
- SQLPro Studio
- Pergament
- Wondershare UniConverter 13
Im Gegensatz zu ihren legitimen Gegenstücken, die als Disk-Images verteilt werden, werden die infizierten Versionen als PKG-Dateien gepackt. Diese scheinbar harmlose Änderung verbirgt eine böswillige Absicht, da PKG-Dateien während der Installation Skripte ausführen und erhöhte Berechtigungen erben können. Nach der Installation lösen diese Skripte diskret den Trojaner aus und tarnen ihn als legitimen Systemprozess namens WindowServer.
Die heimliche Operation des Trojaners
Um eine Entdeckung zu vermeiden, muss die Trojaner nutzt clevere Tarnungen. Es nimmt den Namen „GoogleHelperUpdater.plist“ an, der eine Google-Konfigurationsdatei nachahmt, und greift auf den WindowServer von macOS zu – einen echten Systemprozess, der die grafische Benutzeroberfläche verwaltet. Diese Tarntaktik zielt darauf ab, nahtlos in routinemäßige Systemfunktionen einzugreifen und jedem Verdacht zu entgehen.
Bei der Aktivierung stellt der Trojaner über DNS-over-HTTPS (DoH) eine Verbindung mit seinem Command-and-Control-Server (C2) her. Während Kaspersky bestimmte Befehle nicht in Aktion beobachten konnte, deuten Analysen darauf hin, dass Kaspersky in der Lage ist, TCP- oder UDP-Verbindungen herzustellen und so Proxy-Aktivitäten gemäß den Anweisungen der Bediener zu ermöglichen.
Dieselbe C2-Infrastruktur hostet Proxy-Trojaner-Payloads, die für Android- und Windows-Systeme entwickelt wurden. Dieser breite Ansatz deutet darauf hin, dass die Cyberkriminellen, die hinter diesen Angriffen stehen, ein breites Spektrum an Geräten und Betriebssystemen ins Visier nehmen.
Bleiben Sie wachsam
Angesichts dieser eskalierenden Bedrohung ist beim Herunterladen von Software höchste Vorsicht geboten. Halten Sie sich beim Erwerb von Software an offizielle Quellen, vermeiden Sie das Herunterladen von ungeprüften oder raubkopierten Quellen und aktualisieren Sie Ihre Sicherheitssoftware regelmäßig, um Ihren Mac vor neuen Bedrohungen zu schützen.
Informiert und wachsam zu sein bleibt die stärkste Verteidigung gegen diese böswilligen Versuche, Ihr Gerät und Ihre Daten zu gefährden.
Bleiben Sie vorsichtig und geschützt.
Hervorgehobener Bildnachweis: Tianyi Ma/Unsplash
