Cyber-Sicherheitsexperten haben einen aktuell virulenten Proxy-Trojaner entdeckt, der es auf das Betriebssystem macOS abgesehen hat. [1] In Software-Raubkopien versteckt, tarnt sich dieser Proxy-Trojaner während der Installation als erwünschtes Programm. Ist er erst in das System eines Nutzers vorgedrungen, richtet er verdeckt einen zusätzlichen Proxyserver ein, der es Cyber-Kriminellen ermöglicht, über das nun kompromittierte Gerät Datenverkehr umzuleiten. Der Trojaner, der über PKG-Installationsprogramme verbreitet wird, kann sowohl vor als auch nach der eigentlichen Softwareinstallation aktiv sein.
Der sich aktuell verbreitende Trojaner nutzt nach Angaben des Forschungsteams des Sicherheitsanbieters Kaspersky das Protokoll DNS-over-HTTPS (DoH) innerhalb der WindowServer-Datei und kann so die Kommunikation mit dem böswilligen Command-and-Control-Server verbergen. Mittels dieses Protokolls ist er vor DNS-Abfragen geschützt und verfügt über eine erhöhte Fähigkeit, im Verborgenen zu agieren. Die Verbindung zum bösartigen C&C-Server stellt dieser Trojaner dazu über das WebSocket-Protokoll her, sodass die Kommunikation mit den Bedrohungsakteuren in Echtzeit ablaufen kann. Die Cyber-Kriminellen können so veränderte Umstände frühzeitig erkennen, ihre Befehle anpassen und einer Erkennung entgehen. Die Kaspersky-Sicherheitsexperten fanden auch mehrere Samples dieses Proxy-Trojaners, die für Android- und Windows-Plattformen entwickelt worden sind.
Gemeinsam haben alle diese aktuell virulenten Proxy-Trojaner, dass sie über raubkopierte Versionen legitimer Software verbreitet werden. „Seit jeher haben es Cyberkriminelle auf Anwender abgesehen, die auf der Suche nach kostenloser Software sind und versehen raubkopierte Software mit Schadprogrammen“, kommentiert Sergey Puzan, Sicherheitsexperte bei Kaspersky. „Unsere neue Entdeckung zeigt erneut, welche Bedrohung von gecrackter Software ausgeht – insbesondere, wenn man bedenkt, dass der Proxy-Trojaner über eine ausgefeilte Fähigkeit verfügt, seine Aktivitäten zu verbergen.“ Zu den gängigen Tipps zur Vorbeugung vor Proxy-Trojanern gehören, verdächtige Websites und gecrackte Software zu meiden und ein virtuelles privaten Netzwerks (VPN) zu verwenden sowie Dateien nur von unbekannten Quellen herunterzuladen.
