Los sitios warez, que ofrecen programas de pago de forma ilegal, son el medio que utilizan unos ciberdelincuentes para propagar un software malicioso, según han descubierto los investigadores de seguridad de Kaspersky. Su finalidad es infectar los ordenadores de los usuarios con un troyano proxy que los convierte en parte de una red de bots.
Así lo revela un informe realizado por el sitio web Bleeping Computer. Kaspersky alerta sobre el grave peligro que representan los troyanos proxy y el software pirata. Una de sus últimas acciones no solo afecta a los usuarios de Windows, como es habitual, sino que también intenta engañar a los usuarios de macOS.
Software troyanizado de campaña popular:
Kaspersky detectó 35 herramientas de edición de fotos, compresión y edición de vídeo, recuperación de datos y análisis de red contaminadas con el troyano proxy.
- Vídeo 4K Donwloader Pro
- Recuperación de datos de Aissessoft Mac
- Aiseesoft Mac Video Converter Ultimate
- Recuperación de datos de Android AnyMP4 para Mac
- Downie 4
- FonePaw Recuperación de Datos
- Bosquejo
- Wondershare UniConverter 13
- Estudio SQLPro
- Artstudio Pro
Según Kaspersky, las versiones infectadas se descargan como archivos PKG, en vez de los programas legítimos que se distribuyen como imágenes de disco. Los archivos PKG son mucho más dañinos que los archivos de imagen de disco, que son el método de instalación habitual para estos programas, porque pueden ejecutar scripts durante la instalación de la aplicación.
Como los archivos de instalación se ejecutan con privilegios de administrador, todos los scripts que los ejecutan tienen el mismo nivel de acceso. En este caso, después de instalar el programa, los scripts escondidos se activan para ejecutar el troyano, un archivo de WindowServer, y hacer que se muestre como un proceso del sistema.
Archivos ocultos
El archivo que se encarga de iniciar WindowServer al arrancar el sistema operativo se llama «GoogleHelperUpdater.plist» y finge ser un archivo de configuración de Google, para no llamar la atención. Una vez iniciado, el troyano se comunica con su servidor C2 (Command and Control) a través de DNS-over-HTTPS (DoH) para recibir instrucciones.
Además de la acción de macOS, la misma infraestructura C2 contiene cargas maliciosas de troyanos proxy para arquitecturas Android y Windows, lo que indica que los mismos actores tienen como objetivo una variedad de sistemas.
Más información: securelist
