网络犯罪分子正在针对Mac用户与一个新的代理木马恶意软件捆绑流行的，受版权保护的macOS软件正在提供的warez网站。

代理木马恶意软件感染计算机，将它们变成流量转发终端，用于匿名化恶意或非法活动，如黑客、网络钓鱼和非法商品交易。

出售代理服务器访问权限是一项利润丰厚的业务，它催生了大量的僵尸网络，Mac设备也不能幸免于这种广泛的活动。

最新的活动推动代理恶意软件是由卡巴斯基发现的，它报告的最早提交的有效载荷在VirusTotal日期为2023年4月28日。

与流行的Warez捆绑在一起

这场运动利用了人们愿意冒着电脑安全风险来避免为高级应用程序付费的心理。

卡巴斯基找到了35个带有代理木马的图像编辑、视频压缩和编辑、数据恢复和网络扫描工具，引诱用户寻找免费版本的商业软件。

在这场运动中，最受欢迎的木马软件是：

• 4K视频下载器Pro

• 服务器数据恢复

• Aiseesoft Mac视频转换器终极版

• 适用于Mac的AnyMP4 Android数据恢复

• 唐尼4

• 手机数据恢复

• 素描

• Wondershare通用转换器13

• SQLPro工作室

• 艺术工作室Pro

卡巴斯基说，与正版软件不同的是，正版软件是以磁盘映像的形式分发的，而木马版本是以PKG文件的形式下载的。

相比磁盘映像文件，这是这些程序的标准安装介质，PKG文件的风险要大得多，因为它们可以在安装过程中执行脚本的网页

由于安装程序文件是以管理员权限执行的，因此它们执行的任何脚本在执行危险操作（包括文件修改、文件自动运行和命令执行）时都将获得相同的权限。

在这种情况下，嵌入的脚本在程序安装后被激活，以执行木马（一个WindowServer文件），并使其显示为一个系统进程。

程序安装后执行的恶意脚本（卡巴斯基）

Windows Server是macOS中一个合法的系统进程，负责管理图形用户界面，因此该木马旨在与常规系统操作融合，并逃避用户审查。

用于在操作系统启动时启动Windows Server的文件被命名为“GoogleHelperUpdater.plist”，再次模仿Google的配置文件，目的是被用户忽略。

在启动时，木马通过DNS-over-HTTPS（DoH）连接到其C2（命令和控制）服务器，以接收与其操作相关的命令。

卡巴斯基不能观察到这些命令的行动，但通过分析，推断出客户端支持创建TCP或UDP连接，以方便代理。

除了使用PKG的macOS活动外，相同的C2基础设施还为Android和Windows架构托管代理木马有效载荷，因此相同的运营商可能针对广泛的系统。