Новый прокси-троян атакует пользователей macOS через варез

Новый прокси-троян атакует пользователей macOS через варез

Новый прокси-троян атакует пользователей macOS через варез

Киберпреступники атакуют пользователей macOS новым прокси-трояном, привязывая его к популярному пиратскому софту, который распространяется на варез-сайтах.

Попав в систему, вредонос заставляет устройство переадресовывать трафик, что помогает анонимизировать вредоносную активность: попытки взлома, фишинговые рассылки или незаконные транзакции.

Злоумышленники продают доступ к прокси, с помощью которых потом организуются масштабные ботнеты. На новую кампанию киберпреступников обратили внимание специалисты «Лаборатории Касперского».

По словам исследователей, впервые пейлоад объявился на VirusTotal 28 апреля 2023 года. Операторы трояна делают ставку на желании пользователей получить бесплатно популярный софт в обмен на безопасность своего компьютера.

В общей сложности Kaspersky нашла 35 приложений-приманок, предназначенных для редактирования графики, сжатия видео, восстановления данных и сетевого сканирования. К этому софту был привязан упомянутый вредонос.

Вот самые популярные программы, оснащённые вредоносной составляющей:

  • 4K Video Donwloader Pro
  • Aissessoft Mac Data Recovery
  • Aiseesoft Mac Video Converter Ultimate
  • AnyMP4 Android Data Recovery for Mac
  • Downie 4
  • FonePaw Data Recovery
  • Sketch
  • Wondershare UniConverter 13
  • SQLPro Studio
  • Artstudio Pro

Как уточнили в «Лаборатории Касперского», троянизированные версии популярного софта распространяются в виде PKG-файлов. Как известно, такой формат гораздо опаснее, поскольку есть возможность выполнения скриптов в процессе установки приложения.

В этом случае встроенные скрипты активизируются после установки программы и запускают троян — файл WindowServer, который пытается замаскироваться под системный процесс.

19-летнего хакера вычислили по идентификатору Windows

В деле киберпреступной группировки Scattered Spider появился новый поворот: 19-летнего Питера Стоукса, гражданина США и Эстонии, задержали в аэропорту Хельсинки, когда он пытался улететь в Японию. По версии Минюста США, он связан с одной из самых шумных групп последних лет. А помогли выйти на него не только следователи, но и данные Microsoft.

Scattered Spider, также известная как Octo Tempest, UNC3944 и Oktapus, специализируется на социальной инженерии и вымогательстве.

По данным американских властей, группировка получила более $100 млн выкупов. Стоукса обвиняют в сговоре, кибервторжении и мошенничестве.

Ключевой эпизод дела — атака на американского продавца люксовых украшений в мае 2025 года. Злоумышленники якобы позвонили в ИТ-поддержку компании через Google Voice, представились сотрудниками и уговорили сбросить им учётные данные.

После этого они проникли в три аккаунта, два из которых имели права администратора, украли данные и потребовали $8 млн в криптовалюте. Компания выкуп не заплатила и вернула контроль над инфраструктурой, но простой, по утверждению следствия, обошелся примерно в $2 млн.

Дальше началась охота по цифровым следам. В материалах дела говорится, что Microsoft передала ФБР данные GDID — Global Device Identifier. Это уникальный идентификатор установки Windows, связанный с телеметрией устройства. С его помощью следователи смогли связать конкретное железо, интернет-активность, IP-адреса, использование инструментов вроде Ngrok, данные Azure и другие события с временными метками.

И тут история становится особенно щекотливой. С одной стороны, телеметрия помогла поймать предполагаемого участника крупной кибербанды. С другой — снова всплыл старый вопрос: сколько именно Windows знает о пользователях и кто ещё теоретически может добраться до таких данных?

При задержании у Стоукса также нашли два жёстких диска с уликами. Сейчас он экстрадирован в США, уже предстал перед федеральным судом в Чикаго и остаётся под стражей. Судя по делу, улететь в Японию было проще, чем улететь от телеметрии Windows.

RSS: Новости на портале Anti-Malware.ru