Leute, die Raubkopien von Apples Videobearbeitungssoftware Final Cut Pro verwenden, haben möglicherweise mehr bekommen, als sie erwartet hatten, als sie die Software von den vielen illegalen Torrents heruntergeladen haben, über die sie verfügbar ist.
Zumindest in den letzten Monaten hat ein unbekannter Angreifer eine raubkopierte Version der macOS-Software verwendet, um das XMRig-Kryptowährungs-Mining-Tool auf Systemen bereitzustellen, die Personen gehören, die die App heruntergeladen haben.
Forscher von Jamf, die die Operation kürzlich entdeckt haben, konnten nicht feststellen, wie viele Benutzer die bewaffnete Software auf ihrem System installiert haben und derzeit XMRig auf ihnen ausführen, aber das Ausmaß der gemeinsamen Nutzung der Software lässt darauf schließen, dass es Hunderte sein könnten.
Potenziell weitreichende Auswirkungen für XMRig
Jaron Bradley, macOS-Erkennungsexperte bei Jamf, sagt, sein Unternehmen habe über 400 Seeder – oder Benutzer, die die vollständige App haben – entdeckt, die sie per Torrent für diejenigen verfügbar machten, die sie haben wollten. Der Sicherheitsanbieter stellte fest, dass die Person, die ursprünglich die bewaffnete Version von Final Cut Pro für die Torrent-Freigabe hochgeladen hat, jemand mit einer mehrjährigen Erfolgsbilanz beim Hochladen von raubkopierter macOS-Software mit demselben Cryptominer ist. Software, in die der Angreifer die Malware zuvor eingeschleust hatte, umfasst raubkopierte macOS-Versionen von Logic Pro und Adobe Photoshop.
„Angesichts der relativ hohen Anzahl von Seedern und [der Tatsache], dass der Malware-Autor motiviert genug war, die Malware im Laufe von dreieinhalb Jahren kontinuierlich zu aktualisieren und hochzuladen, vermuten wir, dass sie eine ziemlich große Reichweite hat“, sagt Bradley .
Jamf beschrieb das vergiftete Final Cut Pro Sample, das als neue und verbesserte Version früherer Samples der Malware entdeckt wurde, mit Verschleierungsfunktionen, die es für Malware-Scanner auf VirusTotal fast unsichtbar gemacht haben. Ein Schlüsselmerkmal der Malware ist die Verwendung des Invisible Internet Project (i2p)-Protokolls für die Kommunikation. I2p ist eine private Netzwerkschicht, die Benutzern eine ähnliche Art von Anonymität bietet wie das Netzwerk The Onion Router (Tor). Der gesamte i2p-Verkehr existiert innerhalb des Netzwerks, was bedeutet, dass es das Internet nicht direkt berührt.
„Der Malware-Autor erreicht niemals eine Website, die sich irgendwo außerhalb des i2p-Netzwerks befindet“, sagt Bradley. „Alle Tools der Angreifer werden über das anonyme i2p-Netzwerk heruntergeladen und die abgebauten Währungen werden ebenfalls über i2p an die Brieftasche der Angreifer gesendet.“
Bei der Raubkopienversion von Final Cut Pro, die Jamf entdeckte, hatte der Bedrohungsakteur die Hauptbinärdatei geändert, sodass die ausführbare Hauptdatei ein Malware-Dropper ist, wenn ein Benutzer auf das Anwendungspaket doppelklickt. Der Dropper ist dafür verantwortlich, alle weiteren böswilligen Aktivitäten auf dem System auszuführen, einschließlich des Startens des Krypto-Miners im Hintergrund und des anschließenden Anzeigens der raubkopierten Anwendung für den Benutzer, sagt Bradley.
Kontinuierliche Malware-Entwicklung
Wie bereits erwähnt, ist einer der bemerkenswertesten Unterschiede zwischen der neuesten Version der Malware und früheren Versionen die erhöhte Tarnung - aber das war ein Muster.
Die früheste Version – im Jahr 2019 in raubkopierter macOS-Software gebündelt – war die am wenigsten heimliche und abgebaute Kryptowährung, unabhängig davon, ob der Benutzer am Computer war oder nicht. Dadurch war es leicht zu erkennen. Eine spätere Iteration der Malware wurde hinterhältiger; Es würde erst dann mit dem Schürfen von Kryptowährung beginnen, wenn der Benutzer ein Raubkopien-Softwareprogramm öffnete.
„Dies erschwerte es den Benutzern, die Aktivitäten der Malware zu erkennen, aber sie schürfte weiter, bis sich der Benutzer abmeldete oder den Computer neu startete. Darüber hinaus begannen die Autoren, eine Technik namens Base-64-Codierung zu verwenden, um verdächtige Codezeichenfolgen zu verbergen, die mit der Malware in Verbindung stehen, was es für Antivirenprogramme schwieriger macht, sie zu erkennen“, sagt Bradley.
Er teilt Dark Reading mit, dass die Malware mit der neuesten Version den Prozessnamen so ändert, dass er mit Systemprozessen identisch aussieht. „Dies macht es für den Benutzer schwierig, die Malware-Prozesse von den nativen zu unterscheiden, wenn er eine Prozessliste mit einem Befehlszeilentool anzeigt.
Ein Merkmal, das über die verschiedenen Versionen der Malware hinweg konstant geblieben ist, ist die ständige Überwachung der Anwendung „Activity Monitor“. Benutzer können die App häufig öffnen, um Probleme mit ihren Computern zu beheben, und dabei möglicherweise die Malware entdecken. „Sobald die Malware erkennt, dass der Benutzer den Aktivitätsmonitor geöffnet hat, stoppt sie sofort alle ihre Prozesse, um eine Entdeckung zu vermeiden.“
Fälle von Bedrohungsakteuren, die Malware in raubkopierten macOS-Apps bündeln, sind selten und weit gestreut. Tatsächlich war einer der letzten bekannten Fälle einer solchen Operation im Juli 2020, als Forscher von Malwarebytes einen entdeckten Raubkopien der Anwendungsfirewall Little Snitch die einen Downloader für eine macOS-Ransomware-Variante enthielt.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/analytics/pirated-final-cut-pro-macos-stealth-malware-delivery
- 2019
- 2020
- 7
- a
- Aktivität
- Akteure
- zusätzlich
- Adobe
- Alle
- und
- Anonymität
- Anonym
- Antivirus
- von jedem Standort
- App
- Apple
- Anwendung
- Apps
- damit verbundenen
- Autor
- Autoren
- verfügbar
- Zurück
- Hintergrund
- Base
- zwischen
- bündeln
- namens
- Tragen
- Änderungen
- Code
- Kommunikation
- Unternehmen
- abschließen
- Computer
- Computer
- konsistent
- konstante
- ständig
- könnte
- Kurs
- kryptowährung
- Kryptowährung Mining
- Währung
- Zur Zeit
- Schneiden
- Dunkel
- Dunkle Lektüre
- Übergeben
- Lieferanten
- beschrieben
- Entdeckung
- Bestimmen
- Unterschiede
- anders
- schwer
- Direkt
- entdeckt
- Anzeige
- unterscheiden
- Dabei
- doppelt
- Bearbeitungssoftware
- genug
- Außer
- Experte
- ziemlich
- Merkmal
- Eigenschaften
- Finale
- Firewall
- gefunden
- für
- weiter
- gegeben
- Hälfte
- Verbergen
- GUTE
- Ultraschall
- HTTPS
- hunderte
- identisch
- illegal
- sofort
- Impact der HXNUMXO Observatorien
- verbessert
- in
- Dazu gehören
- Einschließlich
- hat
- Krankengymnastik
- installiert
- Internet
- IT
- Iteration
- Juli
- Behalten
- Wesentliche
- Art
- Nachname
- neueste
- Start
- Schicht
- Niveau
- listing
- wenig
- located
- aussehen
- MacOS
- gemacht
- Main
- MACHT
- Making
- Malware
- Malwarebytes
- viele
- Bedeutung
- könnte
- abgebaut
- Bergbau
- geändert
- Überwachen
- Überwachung
- Monat
- mehr
- vor allem warme
- motiviert
- mehrjährig
- Name
- nativen
- Netzwerk
- Neu
- bemerkenswert
- bekannt
- Anzahl
- angeboten
- Angebote
- EINEM
- XNUMXh geöffnet
- geöffnet
- Betrieb
- ursprünglich
- passt
- Schnittmuster
- Personen
- Plato
- Datenintelligenz von Plato
- PlatoData
- früher
- vorher
- privat
- Pro
- Probleme
- Prozessdefinierung
- anpassen
- Programm
- Programme
- Projekt
- Protokoll
- Ransomware
- RARE
- erreichen
- Erreicht
- Lesebrillen
- kürzlich
- Rekord
- verhältnismäßig
- blieb
- Forscher
- für ihren Verlust verantwortlich.
- neu gestartet
- Router
- Laufen
- gleich
- sagt
- Sicherheitdienst
- mehrere
- ,,teilen"
- ähnlich
- So
- Software
- Jemand,
- Spot
- Anfang
- begonnen
- Stealth
- Stoppt
- so
- Schlägt vor
- misstrauisch
- System
- Systeme und Techniken
- erzählt
- Das
- ihr
- Bedrohung
- Bedrohungsakteure
- nach drei
- Durch
- Zeit
- zu
- Werkzeug
- Tor
- Schwall
- aufnehmen
- verfolgen sind
- der Verkehr
- Aktualisierung
- hochgeladen
- Uploading
- -
- Mitglied
- Nutzer
- Variante
- Verkäufer
- Version
- Video
- Wallet
- Webseite
- bekannt
- ob
- welche
- WHO
- breit
- .
- würde
- Jahr
- Zephyrnet
