Новое вредоносное ПО нацелено на macOS
В ходе расследования было обнаружено новое вредоносное ПО для уклончивого криптоджекинга на macOS, распространяемое через пиратские версии Final Cut Pro.
Jamf Threat Labs провела последние несколько месяцев, отслеживая недавно появившееся семейство вредоносных программ. Более ранняя версия известна в сообществе безопасности, но новая итерация не была обнаружена.
Во время обычного мониторинга Jamf получил предупреждение об использовании XMRig, инструмента командной строки для майнинга криптовалюты. Хотя XMRig часто используется во благо, его настраиваемая природа с открытым исходным кодом также сделала его популярным вариантом для злоумышленников.
Команда обнаружила вредоносное ПО, скрывающееся в пиратских версиях Final Cut Pro, программного обеспечения для редактирования видео от Apple. Эта вредоносная версия Final Cut Pro запускала XMRig в фоновом режиме.
Встроенный вредоносный скрипт. Источник: Jamf Labs
Он использует Invisible Internet Project (i2p) для связи, уровень частной сети, который может анонимизировать трафик. Вредоносное ПО использует его для загрузки вредоносных компонентов и отправки добытой валюты на кошелек злоумышленника.
Jamf провел поиск в The Pirate Bay, известном хранилище пиратской музыки, фильмов, программного обеспечения и других категорий файлов. Они загрузили самый последний торрент с наибольшим количеством раздач и обнаружили, что он содержит вредоносное ПО.
Загрузчик был источником вредоносного ПО и источником образцов, о которых сообщалось ранее. Почти все многочисленные загрузки, которые начались в 2019 году, были заражены вредоносным ПО для скрытого майнинга криптовалюты.
После того как пользователь устанавливает зараженное приложение Final Cut Pro, сразу же начинается процесс загрузки и установки вредоносного ПО и компонентов командной строки XMRig. Он маскирует майнинг под процесс mdworker_local.
Защита
Исследователи отмечают, что macOS Ventura может блокировать запуск вредоносного приложения. Это связано с тем, что вредоносное ПО оставило исходную подпись кода нетронутой, но модифицировало приложение, нарушив политику безопасности системы.
Привратник блокирует приложение
Однако macOS Ventura не препятствует запуску майнера. Таким образом, к тому времени, когда пользователь получает сообщение об ошибке, в котором говорится, что Final Cut Pro поврежден и не может быть открыт, вредоносное ПО уже установлено.
Команда обнаружила сообщение об ошибке только в пиратских версиях Logic Pro и Final Cut Pro. Однако пиратская версия Photoshop успешно запускала вредоносные и работающие компоненты на macOS Ventura 13.2 и более ранних версиях.
Самый очевидный способ избежать вредоносных программ — не загружать пиратское программное обеспечение. Final Cut Pro стоит 299,99 долларов, но iMovie и DaVinci Resolve — бесплатные варианты.
Изображение VirusTotal, показывающее вредоносный двоичный файл с 0 обнаружениями от других поставщиков. Снято Jamf Threat Labs 10 февраля 2023 г.
На момент обнаружения Jamf обнаружил, что образец вредоносного ПО не был обнаружен как вредоносный ни одним поставщиком средств защиты на VirusTotal, веб-сайте, который может обнаруживать вредоносное ПО. С января 2023 года несколько неназванных поставщиков начали обнаруживать вредоносное ПО, однако некоторые злонамеренно измененные программы продолжают оставаться незамеченными.
Таким образом, пользователи могут не полагаться на свое программное обеспечение для защиты от вредоносных программ для обнаружения заражения — по крайней мере, на данный момент.
