Die Kaspersky-Experten haben einen hochkomplexen Proxy-Trojaner entdeckt, der es auf das Betriebssystem macOS abgesehen hat. Der Trojaner wird über raubkopierte Versionen legitimer Software verbreitet. Interessanterweise fanden die Sicherheitsexperten auch mehrere Samples, die für Android- und Windows-Plattformen entwickelt wurden. Diese Versionen fungieren ebenfalls als Proxy-Trojaner und werden zusammen mit Raubkopien verbreitet.
Der entdeckte Proxy-Trojaner tarnt sich während der Installation als legitimes Programm. Sobald er in das System eines Nutzers eingedrungen ist, richtet er heimlich einen verdeckten Proxyserver ein, der es Bedrohungsakteuren ermöglicht, den Netzwerkverkehr über das kompromittierte Gerät umzuleiten. Der Trojaner wird über PKG-Installationsprogramme verbreitet, wodurch er vor und nach der Installation aktiv sein kann.
Die Analysen von Kaspersky zeigen, dass der Trojaner das Protokoll DNS-over-HTTPS (DoH) innerhalb der WindowServer-Datei verwendet und so die Kommunikation mit dem Command and Control (C&C)-Server verbirgt. Das Protokoll schützt DNS-Abfragen und erhöht seine Fähigkeiten im Verborgenen zu agieren. Darüber hinaus stellt der Trojaner über das WebSocket-Protokoll eine Verbindung zum C&C-Server her. Durch die Verwendung von WebSocket kann der Trojaner Befehle in Echtzeit von den Bedrohungsakteuren empfangen, sich so an veränderte Umstände anpassen und einer Erkennung effektiver entgehen.
Sergey Puzan, Sicherheitsexperte bei Kaspersky, kommentiert den macOS-Proxy-Trojaner wie folgt:
"Seit jeher haben es Cyberkriminelle auf Anwender abgesehen, die auf der Suche nach kostenloser Software sind und versehen raubkopierte Software mit Schadprogrammen. Unsere neue Entdeckung zeigt erneut, welche Bedrohung von gecrackter Software ausgeht – insbesondere wenn man bedenkt, dass der Proxy-Trojaner über eine ausgefeilte Fähigkeit verfügt, seine Aktivitäten zu verbergen. Um sich vor Trojanern zu schützen, sollten macOS-Nutzer auf eine robuste Sicherheitssoftware setzen und Software nur aus offiziellen Quellen herunterladen; und sie sollten insbesondere die Nutzung von gecrackter Software vermeiden."
Kaspersky-Tipps zum Schutz vor Trojanern und anderer Malware
- Wichtige E-Mail-Adressen und Telefonnummern nicht an Dritte weitergeben. Gegebenenfalls ein zusätzliches E-Mail-Konto erstellen und eine weitere SIM-Karte erwerben, mit denen Online-Einkäufe oder ähnliches getätigt werden, bei denen die Weitergabe von Daten an Dritte erforderlich ist.
- Apps nur aus den offiziellen Stores wie Apple App Store, Google Play oder Amazon Appstore downloaden.
- Betriebssystem und Apps regelmäßig aktualisieren, um etwaige Sicherheitslücken zu schließen.
- In den genutzten sozialen Netzwerken auf Privatsphäre achten und die Einstellungen entsprechend anpassen. Informationen sollten für Dritte nicht einsehbar und Kontaktmöglichkeiten eingeschränkt sein.
- Eine Sicherheitssoftware auf allen genutzten Geräten verwenden; Kaspersky Premium schützt sowohl Windows als auch macOS.
Quelle: Pressemitteilung
