Folk, der bruger piratkopierede versioner af Apples Final Cut Pro-videoredigeringssoftware, kan have fået mere, end de havde regnet med, da de downloadede softwaren fra de mange ulovlige torrents, hvorigennem den er tilgængelig.
I det mindste de sidste mange måneder har en ukendt trusselsaktør brugt en piratkopieret version af macOS-softwaren til at levere XMRig-kryptovaluta-mineværktøjet på systemer, der tilhører folk, der har downloadet appen.
Forskere fra Jamf, som for nylig så operationen, har ikke været i stand til at bestemme, hvor mange brugere der kan have installeret den bevæbnede software på deres system og i øjeblikket har XMRig kørende på dem, men niveauet for deling af softwaren antyder, at det kan være hundredvis.
Potentielt bred indvirkning til XMRig
Jaron Bradley, macOS-detektionsekspert hos Jamf, siger, at hans firma opdagede over 400 seeders - eller brugere, der har den komplette app - og gjorde den tilgængelig via torrent for dem, der ønsker det. Sikkerhedsleverandøren fandt ud af, at den person, der oprindeligt uploadede den bevæbnede version af Final Cut Pro til torrent-deling, er en person med en flerårig track record med at uploade piratkopieret macOS-software med den samme kryptominer. Software, som trusselsaktøren tidligere havde sneget malwaren ind i, inkluderer piratkopierede macOS-versioner af Logic Pro og Adobe Photoshop.
"I betragtning af det relativt høje antal seeders og [det faktum] at malware-forfatteren har været motiveret nok til løbende at opdatere og uploade malwaren i løbet af tre et halvt år, formoder vi, at den har en ret bred rækkevidde," siger Bradley .
Jamf beskrev den forgiftede Final Cut Pro prøve, som den opdagede som en ny og forbedret version af tidligere eksempler på malware, med sløringsfunktioner, der har gjort den næsten usynlig for malware-scannere på VirusTotal. En vigtig egenskab ved malwaren er dens brug af Invisible Internet Project (i2p) protokollen til kommunikation. I2p er et privat netværkslag, der tilbyder brugere lignende form for anonymitet som den, der tilbydes af The Onion Router (Tor) netværk. Al i2p-trafik findes i netværket, hvilket betyder, at den ikke rører internettet direkte.
"Malwareforfatteren når aldrig ud til et websted, der er placeret andre steder end i i2p-netværket," siger Bradley. "Alt angriberværktøj downloades over det anonyme i2p-netværk, og mineret valuta sendes også til angribernes tegnebog over i2p."
Med den piratkopierede version af Final Cut Pro, som Jamf opdagede, havde trusselsaktøren ændret den primære binære fil, så når en bruger dobbeltklikker på applikationspakken, er den primære eksekverbare en malware-dropper. Dropperen er ansvarlig for at udføre al yderligere ondsindet aktivitet på systemet, herunder at starte kryptomineren i baggrunden og derefter vise den piratkopierede applikation til brugeren, siger Bradley.
Kontinuerlig malwareudvikling
Som nævnt er en af de mest bemærkelsesværdige forskelle mellem den seneste version af malwaren og tidligere versioner dens øgede stealth — men dette har været et mønster.
Den tidligste version - samlet i piratkopieret macOS-software tilbage i 2019 - var den mindst snigende og minerede kryptovaluta hele tiden, uanset om brugeren var ved computeren eller ej. Dette gjorde det nemt at få øje på. En senere iteration af malware blev sneakiere; det ville først begynde at udvinde kryptovaluta, når brugeren åbnede et piratkopieret softwareprogram.
"Dette gjorde det sværere for brugerne at opdage malwarens aktivitet, men det ville fortsætte med at mine, indtil brugeren loggede ud eller genstartede computeren. Derudover begyndte forfatterne at bruge en teknik kaldet base 64-kodning for at skjule mistænkelige strenge af kode forbundet med malwaren, hvilket gjorde det sværere for antivirusprogrammer at opdage,” siger Bradley.
Han fortæller til Dark Reading, at med den seneste version ændrer malware procesnavnet, så det ser identisk ud med systemprocesser. "Dette gør det svært for brugeren at skelne malware-processerne fra de oprindelige processer, når de ser en procesliste ved hjælp af et kommandolinjeværktøj.
En funktion, der er forblevet konsistent gennem de forskellige versioner af malwaren, er dens konstante overvågning af "Activity Monitor"-applikationen. Brugere kan ofte åbne appen for at fejlfinde problemer med deres computere og kan derved ende med at opdage malwaren. Så "når malwaren opdager, at brugeren har åbnet Activity Monitor, stopper den straks alle dens processer for at undgå opdagelse."
Forekomster af trusselsaktører, der samler malware i piratkopierede macOS-apps, har været sjældne og langt imellem. Faktisk var et af de sidste velkendte tilfælde af en sådan operation i juli 2020, da forskere ved Malwarebytes opdagede en piratkopieret version af applikationsfirewall Little Snitch der indeholdt en downloader til en macOS ransomware-variant.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/analytics/pirated-final-cut-pro-macos-stealth-malware-delivery
- 2019
- 2020
- 7
- a
- aktivitet
- aktører
- Derudover
- Adobe
- Alle
- ,
- Anonymitet
- anonym
- antivirus
- overalt
- app
- Apple
- Anvendelse
- apps
- forbundet
- forfatter
- forfattere
- til rådighed
- tilbage
- baggrund
- bund
- mellem
- Bundle
- kaldet
- regnskabsmæssige
- Ændringer
- kode
- Kommunikation
- selskab
- fuldføre
- computer
- computere
- konsekvent
- konstant
- kontinuerligt
- kunne
- Kursus
- cryptocurrency
- Cryptocurrency Mining
- Valuta
- For øjeblikket
- Klip
- mørk
- Mørk læsning
- levere
- levering
- beskrevet
- Detektion
- Bestem
- forskelle
- forskellige
- svært
- direkte
- opdaget
- visning
- skelne
- gør
- fordoble
- redigeringssoftware
- nok
- Undtagen
- ekspert
- retfærdigt
- Feature
- Funktionalitet
- endelige
- firewall
- fundet
- fra
- yderligere
- given
- Halvdelen
- Skjule
- Høj
- Hvordan
- HTTPS
- Hundreder
- identisk
- ulovlig
- straks
- KIMOs Succeshistorier
- forbedret
- in
- omfatter
- Herunder
- øget
- individuel
- installeret
- Internet
- IT
- iteration
- juli
- Holde
- Nøgle
- Venlig
- Efternavn
- seneste
- lancering
- lag
- Niveau
- notering
- lidt
- placeret
- Se
- MacOS
- lavet
- Main
- maerker
- Making
- malware
- Malwarebytes
- mange
- betyder
- måske
- minerede
- Mining
- modificeret
- Overvåg
- overvågning
- måned
- mere
- mest
- motiveret
- flerårigt
- navn
- indfødte
- netværk
- Ny
- bemærkelsesværdig
- bemærkede
- nummer
- tilbydes
- Tilbud
- ONE
- åbent
- åbnet
- drift
- oprindeligt
- forbi
- Mønster
- Mennesker
- plato
- Platon Data Intelligence
- PlatoData
- tidligere
- tidligere
- private
- om
- problemer
- behandle
- Processer
- Program
- Programmer
- projekt
- protokol
- ransomware
- SJÆLDEN
- nå
- når
- Læsning
- for nylig
- optage
- relativt
- forblevet
- forskere
- ansvarlige
- genstartes
- router
- kører
- samme
- siger
- sikkerhed
- flere
- deling
- lignende
- So
- Software
- Nogen
- Spot
- starte
- påbegyndt
- Stealth
- stopper
- sådan
- foreslår
- mistænksom
- systemet
- Systemer
- fortæller
- deres
- trussel
- trusselsaktører
- tre
- Gennem
- tid
- til
- værktøj
- Tor
- Torrent
- spor
- Trafik
- Opdatering
- uploadet
- Uploading
- brug
- Bruger
- brugere
- Variant
- sælger
- udgave
- via
- video
- tegnebog
- Hjemmeside
- Kendt
- hvorvidt
- som
- WHO
- bred
- inden for
- ville
- år
- zephyrnet
