Киберпреступники атакуют пользователей Mac с помощью нового троянского вредоносного ПО, которое поставляется вместе с популярным авторским софтом для macOS.

Вредонос превращает девайс в терминал для перенаправления трафика, используемого для анонимизации злонамеренных воздействий, взлома, фишинга и т.п.

Новую кампанию обнаружили спецы из Kaspersky как минимум в 35 программах для редактирования изображений, сжатия и редактирования видео, восстановления данных и сканирования сети.

Среди наиболее популярных программ, инфицированных трояном, были: 4K Video Downloader Pro, Aissessoft Mac Data Recovery, Aiseesoft Mac Video Converter Ultimate, AnyMP4 Android Data Recovery for Mac, Downie 4, FonePaw Data Recovery, Sketch, Wondershare UniConverter 13, SQLPro Studio, Artstudio Pro.

В отличие от легитимного ПО, которое распространяется в виде образов диска, вредоносные версии загружаются в виде PKG-файлов, которые обрабатываются специальной утилитой Installer в macOS.

Установщики PKG могут выполнять скрипты до и после установки приложения, но в обнаруженном случае встроенные вредоносные скрипты активируются после установки программы для выполнения вредносного файла WindowServer и файла конфигурации p.plist, делая активность похожую на системный процесс.

После запуска, троянец создает файлы логов и пытается получить IP-адрес C2-сервера через сервис DNS-over-HTTPS (DoH), скрывая DNS-запрос от средств мониторинга трафика.

Затем он создает соединение с C2 и отправляет ему свою версию, ожидая в ответ команду и соответствующее ей сообщение.

Лаборатория не смогла обнаружить команды в действии, но посредством анализа выяснила, что клиент поддерживает создание TCP или UDP-соединений для обеспечения проксирования.

Кстати, помимо приложений для macOS исследователи также обнаружили несколько образцов, выполняющих подключение к тому же C2-серверу и созданных под Android и Windows. Они также являются прокси-троянцами и скрытно поставляются вместе со взломанным ПО.