En una reciente alerta de seguridad, se advierte a los usuarios de Mac sobre un peligroso malware Trojan-Proxy que se propaga mediante versiones troyanizadas de software pirateado. Sitios web no autorizados que distribuyen estas versiones infectan a usuarios de macOS, comprometiendo la seguridad de sus sistemas.
Este tipo de malware podría permitir a los atacantes construir una red de servidores proxy o realizar actividades delictivas en nombre de las víctimas, como lanzar ataques a sitios web, empresas e individuos, o incluso realizar transacciones ilegales.
El malware se presenta como herramientas legítimas de multimedia, edición de imágenes, recuperación de datos y productividad, atrayendo a usuarios que buscan software pirateado. A diferencia de las versiones genuinas, las variantes maliciosas se entregan como archivos instaladores .PKG, que activan comportamientos maliciosos después de la instalación.
El objetivo principal de la campaña es desplegar el Trojan-Proxy, que se camufla como el proceso Windows Server en macOS para evitar la detección. Este proceso es esencial para la administración de ventanas y la interfaz gráfica de usuario.
Una vez activo, el malware intenta obtener la dirección IP del servidor de comando y control a través de DNS sobre HTTPS, encriptando las solicitudes y respuestas. Posteriormente, establece contacto con el servidor C2, esperando instrucciones para actuar como proxy a través de TCP o UDP, redirigiendo así el tráfico a través del host infectado.
Kaspersky descubrió muestras del malware en el motor de escaneo VirusTotal desde el 28 de abril de 2023. Se insta a los usuarios a evitar la descarga de software desde fuentes no confiables para mitigar estas amenazas.
