卡巴斯基最近发现了最新的Trojan Proxy恶意软件活动，显示VirusTotal上最早提交的有效负载可以追溯到2023年4月28日。停止安装盗版和破解软件，以确保保护您的设备免受代理木马和其他新恶意软件威胁。

网络犯罪分子通常热衷于利用macOS应用程序来瞄准Mac用户，而这一次，他们可能中了大奖。根据卡巴斯基网络安全研究人员的最新研究，威胁行为者正在破解的应用程序中部署一种新型特洛伊木马代理恶意软件，并通过未经授权的网站分发。此操作背后的计划是危害Mac设备。

研究人员观察到，该活动在VirusTotal上提交的最早有效负载是在2023年4月28日。进一步调查显示，该恶意软件隐藏在warez网站上提供的流行受版权保护的macOS软件中。

仅供您参考，Warez网站是免费或以比原始产品低得多的价格提供受版权保护的数字内容（例如软件、电影、音乐、电子书和游戏）的网站。

该恶意软件允许攻击者构建代理服务器网络来实施犯罪或获利。安装后，该恶意软件会将计算机转换为匿名流量转发终端，从而允许恶意软件操作者执行恶意活动，例如网络钓鱼、黑客攻击或进行非法交易。

研究人员解释说：“攻击者可以利用此类恶意软件通过构建代理服务器网络来获取金钱，或代表受害者实施犯罪行为：对网站、公司和个人发起攻击，购买枪支、毒品和其他非法商品。”在一篇博文中。

受感染的应用程序显示为合法的破解软件，以.PKG安装程序而不是通常的磁盘映像形式分发。安装后脚本将两个系统文件替换为应用程序资源中的恶意版本，并授予它们管理权限。伪造的Google配置文件(p.plist)会自动将WindowServer恶意软件文件作为系统进程启动。

该二进制文件于4月28日上传到VirusTotal，但当时未被识别为恶意软件。该恶意软件利用DNS-over-HTTPS(DoH)获取C2服务器IP地址并通过WebSocket进行连接，接收木马可以执行的各种恶意活动的命令并发送信息。

然而，在研究过程中，调查人员没有收到0x38命令之外的服务器响应，并注意到客户端支持TCP和UDP连接。早期版本依赖传统的DNS请求而不是DoH来获取C&C服务器。

值得注意的是，出售这些代理的访问权限是一项高利润的业务，涵盖了大量的僵尸网络。卡巴斯基研究人员指出，Mac设备无法免受这种根深蒂固的威胁的影响，这就是该活动有效的原因。

攻击者正在利用受版权保护的软件破解版本的流行，特别是商业软件/程序，因为用户更愿意避免付费购买高级软件。

卡巴斯基发现了大约35个带有特洛伊木马代理的流行图像编辑、数据恢复、视频压缩和编辑以及网络扫描工具相关应用程序的实例。

除了macOS之外，研究人员还发现了连接到同一C&C服务器的Android和Windows版本。这意味着带有木马代理恶意软件的破解软件的更大分发网络可能正在发挥作用。

Menlo Security的首席安全架构师Lionel Litty表示，使用DoH和WebSocket表明威胁行为者更加注重逃避基于网络的检测机制。

“DoH和WebSocket的使用表明，更复杂的不良行为者专注于逃避企业可能部署的基于网络的检测机制，”Litty解释道。

Litty补充道：“DoH通常意味着恶意软件可以逃避查看IOC DNS流量的产品的检测，因为DNS流量现在包含在HTTPS连接中，这些连接可能不会被检查或被不理解DoH语义的解决方案检查。”

Litty警告说：“同样，检查HTTPS流量的网络设备可能无法理解WebSocket语义，并且可能无法运行针对恶意软件使用的C&C流量有效负载的基于签名的检测。”