Il trojan proxy per macOS costituisce un rischio per gli utenti che cercano metodi alternativi, ma illegali per scaricare le applicazioni.
“Il malware individuato da Kaspersky”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “presenta diversi caratteri distintivi e dimostra l’interesse crescente degli attori malevoli nei sistemi macOS”.
Ecco come proteggersi dal rischio di compromettere il sistema.
Indice degli argomenti
Trojan proxy per macOS: i rischi
Il trojan proxy sembra un programma legittimo nella fase di installazione. Ma, una volta che si è riuscito ad infiltrarsi nel sistema dell’utente, installa un server proxy di nascosto, permettendo ai cyber criminali di effettuare il reindirizzamento del traffico di rete tramite il device compromesso.
La distribuzione del trojan attraverso programmi di installazione PKG o tramite disk image standard, gli permette l’esecuzione di operazioni arbitrarie prima e dopo l’installazione.
Secondo gli esperti, l’utilizzo del DNS-over-HTTPS (DoH) da parte del trojan all’interno del file WindowServer, che cela la comunicazione con il server di comando e controllo (C&C), assicura la protezione delle query DNS, registrando un incremento delle sue funzionalità di segretezza.
“Interessante”, infatti, conferma Paganini, “l’uso del DNS-over-HTTPS (DoH) da parte del trojan. Il protocollo di sicurezza crittografa le query e le risposte DNS, proteggendole da intercettazioni e manipolazioni e quindi garantendo un canale di comunicazione protetto con l’infrastruttura di comando e controllo. Singolare e poco comune anche l’uso del protocollo WebSocket“.
Il trojan tende infatti a stabilire una connessione con il server C&C sfruttando il protocollo WebSocket, una scelta inconsueta per i trojan proxy. L’uso di WebSocket permette al trojan di ricevere comandi in tempo reale dagli attori criminali, adattandosi così a situazioni mutevoli ed eludendo più efficacemente il rilevamento.
L’obiettivo finale della campagna è quello di lanciare il trojan proxy, che si maschera come processo WindowServer su macOS per eludere il rilevamento. WindowServer è oltre un processo di sistema centrale responsabile della gestione delle finestre e del rendering dell’interfaccia grafica (GUI) delle applicazioni.
“Gli aggressori possono utilizzare questo tipo di malware per guadagnare denaro costruendo una rete di server proxy o per compiere atti criminali per conto della vittima: lanciare attacchi a siti web, aziende e individui, acquistare armi, droga e altri beni illeciti”, ha commentato Sergey Puzan, ricercatore di sicurezza di Kaspersky.
Come proteggersi
“Nulla di nuovo, invece, per quanto concerne le tecniche di distribuzione del malware”, conclude Paganini: “Ancora una volta gli attaccanti prediligono versioni piratate di popolari software come vettore di infezione. Ciò implica che una corretta postura di sicurezza consentirebbe di evitare il rischio di infezione”.
Le versioni piratate di software legittimi non sono infatti solo illegali, perché violano il copyright e la proprietà intellettuale, ma sono soprattutto pericolose. Infatti non bisogna mai scaricare copie pirata, ma effettuare il download di app e programmi solo da marketplace e siti ufficiali. Le applicazioni presenti su questi store non sono completamente sicure, rischiano infatti attacchi alle supply chain. Tuttavia ricevono un controllo da parte di addetti e sistemi di filtraggio. Infatti non tutte le app sono immesse in questi store.
Bisogna inoltre mantenere aggiornati i sistemi operativi e applicazioni, scaricando gli update appena resi disponibili. Infatti è possibile risolvere molti problemi di security attraverso l’installazione delle versioni aggiornate dei software.
Accanto alle applicazioni per macOS, Kaspersky ha scoperto vari sample pianificati per le piattaforme Android e Windows, funzionanti come trojan proxy e distribuiti con software pirata.
Per mitigare il rischio derivante da trojan e altri malware, occorre mantenere privati numero di telefono e indirizzo mail principale. Conviene creare un secondo account email o acquistare una SIM aggiuntiva per l’eCommerce e quando serve condividere dati con estranei.
Bisogna infine stabilire le impostazioni dei social network per migliorare la privacy. Infatti è possibile decidere se rendere visibile il proprio profilo e se gli altri utenti possono apporre tag, scrivendo messaggi. Attraverso la modifica delle configurazioni di privacy sui social media, è possibile evitare di essere disturbati da spammer e truffatori, sempre numerosi su ogni social.
