トロイの木馬プロキシ マルウェア

海賊版ソフトウェアのプラットフォームとして動作する不正 Web サイトが、macOS ユーザーを新しい Trojan-Proxy マルウェアに感染させるトロイの木馬化アプリの主な発生源であることが特定されています。このマルウェアを使用すると、攻撃者はプロキシ サーバーのネットワークを確立したり、被害者に代わって違法な活動に従事したりして収益を得ることができます。このような活動には、Web サイト、企業、個人に対する攻撃の開始、銃器、麻薬、その他の違法品目の購入が含まれる場合があります。

サイバーセキュリティの専門家は、このマルウェアがクロスプラットフォームの脅威となることを示唆する証拠を発見しました。これは、Windows と Android の両方のシステムで発見された、海賊版ツールに関連するアーティファクトによって実証されています。

Trojan-Proxy マルウェアは macOS デバイスに感染する可能性があります

このキャンペーンの macOS 亜種は、正規のマルチメディア、画像編集、データ回復、生産性ツールを装って拡散しました。これは、海賊版ソフトウェアを求める個人が攻撃の中心となることを示しています。ディスク イメージ (.DMG) ファイルとして配布される正規のバージョンとは異なり、偽造バージョンは .PKG インストーラーとして提供されます。これらのインストーラーには、インストール プロセス後に悪意のあるアクティビティをトリガーするインストール後スクリプトが含まれています。通常、インストーラーは管理者権限を要求するため、実行されるスクリプトはこれらの権限を継承します。

このキャンペーンの最終的な目的は、macOS 上の WindowServer プロセスを装って検出を逃れる Trojan-Proxy を解き放つことです。 WindowServer は、Windows の管理とアプリケーションのグラフィカル ユーザー インターフェイス (GUI) のレンダリングを担当する基本的なシステム プロセスとして機能します。

トロイの木馬プロキシは攻撃者からの指示を密かに待ちます

マルウェアは、侵害されたデバイス上で実行されると、DNS-over-HTTPS (DoH) 経由で接続するためのコマンド アンド コントロール (C2) サーバーの IP アドレスを取得しようとします。これは、HTTPS プロトコルを使用して DNS 要求と応答を暗号化することで実現されます。

その後、トロイの木馬プロキシは C2 サーバーとの通信を確立し、さらなる指示を待ちます。受信メッセージを処理して、接続先の IP アドレス、使用するプロトコル、送信するメッセージなどの情報を抽出します。これは、TCP または UDP を介してプロキシとして機能し、感染したホストを介してトラフィックをリダイレクトする機能を示しています。

研究者が提供した情報によると、Trojan-Proxy マルウェアは 2023 年 4 月 28 日にまで遡ることができます。このような脅威に対抗するために、ユーザーは信頼できないソースからソフトウェアをダウンロードしないことを強くお勧めします。

トロイの木馬の脅威は、さまざまな危険なアクションを実行するようにプログラムされる可能性があります

トロイの木馬マルウェアは、その欺瞞的かつ多面的な性質により、ユーザーにさまざまなリスクをもたらします。ユーザーは、デバイスに包括的なセキュリティ アプローチを実装することを強くお勧めします。そうしないと、トロイの木馬感染の場合に重大な影響を受ける危険があります。

• 隠蔽されたペイロード: トロイの木馬は、正規のソフトウェアまたはファイルを装って、ユーザーを騙し、知らず知らずのうちに悪意のあるコードをインストールさせます。隠蔽されたペイロードには、ランサムウェア、スパイウェア、キーロガー、またはその他の種類の破壊的なソフトウェアが含まれる可能性があります。
• データの盗難: トロイの木馬は、ログイン認証情報、財務データ、個人情報などの特定の情報を収集することを目的とすることがよくあります。この収集された情報は、個人情報の盗難、金融詐欺、機密アカウントへの不正アクセスなど、さまざまな安全でない目的に悪用される可能性があります。
• リモート アクセス: 一部のトロイの木馬は、攻撃者に不正なリモート アクセスを許可するように設計されています。トロイの木馬が展開されると、攻撃者は感染したシステムを制御できるようになり、ファイルの操作、追加のマルウェアのインストール、さらには侵害されたデバイスを大規模な攻撃に使用することが可能になります。
• ボットネットの形成: トロイの木馬はボットネットの作成に関与する可能性があります。ボットネットは、単一のエンティティによって制御される、改ざんされたコンピューターのネットワークです。これらのボットネットは、分散型サービス拒否 (DDoS) 攻撃の開始、スパムの拡散、その他の組織的なサイバー脅威への参加など、さまざまな危険なアクティビティに使用される可能性があります。
• システムへのダメージ: トロイの木馬は、ファイルの削除、設定の変更、システムの動作不能化などにより、ユーザーのシステムに直接的な損害を与えるようにプログラムされている可能性があります。これにより、重大なデータ損失が発生し、通常のコンピューティング活動が中断される可能性があります。
• プロキシ サービス: 特定のトロイの木馬はプロキシ サーバーとして機能し、攻撃者が感染したシステムを介してインターネット トラフィックをルーティングできるようにします。これを悪用して、攻撃の本当の発信元を隠しながら悪意のある活動を実行できるため、当局が発信元を追跡することが困難になります。
• 他のマルウェアの伝播: トロイの木馬は、多くの場合、他の種類のマルウェアを配布する手段として機能します。システムに侵入すると、追加の悪意のあるソフトウェアをダウンロードしてインストールする可能性があり、ユーザーが直面する脅威はさらに悪化します。

トロイの木馬マルウェアに関連するリスクを軽減するために、ユーザーは、信頼できるマルウェア対策ソフトウェアの使用、定期的なシステム更新、特に信頼できないソースからのファイルのダウンロードやリンクをクリックする際の注意など、堅牢なサイバーセキュリティ対策を講じることをお勧めします。