Το Pirated Final Cut Pro για macOS προσφέρει Stealth Malware Delivery

Τα άτομα που χρησιμοποιούν πειρατικές εκδόσεις του λογισμικού επεξεργασίας βίντεο Final Cut Pro της Apple μπορεί να έχουν πάρει περισσότερα από όσα παζάριαζαν όταν κατέβασαν το λογισμικό από τα πολλά παράνομα torrents μέσω των οποίων είναι διαθέσιμο.

Τουλάχιστον τους τελευταίους μήνες, ένας άγνωστος παράγοντας απειλών χρησιμοποίησε μια πειρατική έκδοση του λογισμικού macOS για να παραδώσει το εργαλείο εξόρυξης κρυπτονομισμάτων XMRig σε συστήματα που ανήκουν σε άτομα που κατέβασαν την εφαρμογή.

Ερευνητές από το Jamf που εντόπισαν πρόσφατα τη λειτουργία δεν μπόρεσαν να προσδιορίσουν πόσοι χρήστες μπορεί να έχουν εγκαταστήσει το οπλισμένο λογισμικό στο σύστημά τους και επί του παρόντος να τρέχουν το XMRig, αλλά το επίπεδο κοινής χρήσης του λογισμικού υποδηλώνει ότι μπορεί να είναι εκατοντάδες.

Δυνητικά ευρύ αντίκτυπο για XMRig

Ο Jaron Bradley, εμπειρογνώμονας ανίχνευσης macOS στο Jamf, λέει ότι η εταιρεία του εντόπισε πάνω από 400 seeders —ή χρήστες που έχουν την πλήρη εφαρμογή— που την καθιστούν διαθέσιμη μέσω torrent σε όσους τη θέλουν. Ο προμηθευτής ασφαλείας διαπίστωσε ότι το άτομο που ανέβασε αρχικά την οπλισμένη έκδοση του Final Cut Pro για κοινή χρήση torrent είναι κάποιος με πολυετές ιστορικό μεταφόρτωσης πειρατικού λογισμικού macOS με το ίδιο cryptominer. Το λογισμικό στο οποίο ο ηθοποιός της απειλής είχε προηγουμένως εισβάλει κρυφά το κακόβουλο λογισμικό περιλαμβάνει πειρατικές εκδόσεις macOS του Logic Pro και του Adobe Photoshop.

"Δεδομένου του σχετικά μεγάλου αριθμού των seers και [του γεγονότος] ότι ο δημιουργός κακόβουλου λογισμικού έχει αρκετά κίνητρα για να ενημερώνει και να ανεβάζει συνεχώς το κακόβουλο λογισμικό κατά τη διάρκεια τριάμισι ετών, υποπτευόμαστε ότι έχει αρκετά μεγάλη εμβέλεια", λέει ο Bradley. .

Ο Jamf περιέγραψε το δηλητηριασμένο Final Cut Pro δείγμα που ανακάλυψε ως νέα και βελτιωμένη έκδοση προηγούμενων δειγμάτων του κακόβουλου λογισμικού, με χαρακτηριστικά συσκότισης που το έχουν καταστήσει σχεδόν αόρατο στους σαρωτές κακόβουλου λογισμικού στο VirusTotal. Ένα βασικό χαρακτηριστικό του κακόβουλου λογισμικού είναι η χρήση του πρωτοκόλλου Invisible Internet Project (i2p) για επικοινωνία. Το I2p είναι ένα ιδιωτικό επίπεδο δικτύου που προσφέρει στους χρήστες παρόμοιο είδος ανωνυμίας με αυτό που προσφέρει το δίκτυο The Onion Router (Tor). Όλη η κίνηση i2p υπάρχει μέσα στο δίκτυο, που σημαίνει ότι δεν αγγίζει απευθείας το Διαδίκτυο.

"Ο συγγραφέας κακόβουλου λογισμικού δεν απευθύνεται ποτέ σε έναν ιστότοπο που βρίσκεται οπουδήποτε εκτός από το δίκτυο i2p", λέει ο Bradley. "Όλα τα εργαλεία εισβολέων κατεβαίνουν μέσω του ανώνυμου δικτύου i2p και το νόμισμα εξόρυξης αποστέλλεται στο πορτοφόλι των εισβολέων μέσω i2p επίσης."

Με την πειρατική έκδοση του Final Cut Pro που ανακάλυψε ο Jamf, ο παράγοντας απειλής είχε τροποποιήσει το κύριο δυαδικό αρχείο, έτσι ώστε όταν ένας χρήστης κάνει διπλό κλικ στο πακέτο εφαρμογής, το κύριο εκτελέσιμο αρχείο είναι ένα dropper κακόβουλου λογισμικού. Το dropper είναι υπεύθυνο για τη διεξαγωγή κάθε περαιτέρω κακόβουλης δραστηριότητας στο σύστημα, συμπεριλαμβανομένης της εκκίνησης του cryptominer στο παρασκήνιο και στη συνέχεια της εμφάνισης της πειρατικής εφαρμογής στον χρήστη, λέει ο Bradley.

Συνεχής εξέλιξη κακόβουλου λογισμικού

Όπως σημειώθηκε, μία από τις πιο αξιοσημείωτες διαφορές μεταξύ της τελευταίας έκδοσης του κακόβουλου λογισμικού και των προηγούμενων εκδόσεων είναι η αυξημένη μυστικότητα του - αλλά αυτό ήταν ένα μοτίβο. 

Η παλαιότερη έκδοση - ομαδοποιημένη σε πειρατικό λογισμικό macOS το 2019 - ήταν το λιγότερο κρυφό και εξορυσσόμενο κρυπτονόμισμα όλη την ώρα είτε ο χρήστης ήταν στον υπολογιστή είτε όχι. Αυτό έκανε εύκολο τον εντοπισμό. Μια μεταγενέστερη επανάληψη του κακόβουλου λογισμικού έγινε πιο ύπουλη. θα ξεκινούσε την εξόρυξη κρυπτονομισμάτων μόνο όταν ο χρήστης άνοιγε ένα πειρατικό πρόγραμμα λογισμικού. 

«Αυτό έκανε πιο δύσκολο για τους χρήστες να ανιχνεύσουν τη δραστηριότητα του κακόβουλου λογισμικού, αλλά θα συνέχιζε την εξόρυξη μέχρι ο χρήστης να αποσυνδεθεί ή να επανεκκινήσει τον υπολογιστή. Επιπλέον, οι συγγραφείς άρχισαν να χρησιμοποιούν μια τεχνική που ονομάζεται κωδικοποίηση βάσης 64 για να κρύψουν ύποπτες σειρές κώδικα που σχετίζονται με το κακόβουλο λογισμικό, καθιστώντας πιο δύσκολο τον εντοπισμό των προγραμμάτων προστασίας από ιούς», λέει ο Bradley.

Λέει στο Dark Reading ότι με την πιο πρόσφατη έκδοση, το κακόβουλο λογισμικό αλλάζει το όνομα της διαδικασίας ώστε να μοιάζει πανομοιότυπο με τις διαδικασίες του συστήματος. «Αυτό καθιστά δύσκολο για τον χρήστη να διακρίνει τις διαδικασίες κακόβουλου λογισμικού από τις εγγενείς κατά την προβολή μιας λίστας διεργασιών χρησιμοποιώντας ένα εργαλείο γραμμής εντολών.

Ένα χαρακτηριστικό που παρέμεινε συνεπές στις διάφορες εκδόσεις του κακόβουλου λογισμικού είναι η συνεχής παρακολούθηση της εφαρμογής «Activity Monitor». Οι χρήστες μπορούν συχνά να ανοίξουν την εφαρμογή για να αντιμετωπίσουν προβλήματα με τους υπολογιστές τους και με αυτόν τον τρόπο θα μπορούσαν να καταλήξουν να εντοπίσουν το κακόβουλο λογισμικό. Έτσι, «όταν το κακόβουλο λογισμικό εντοπίσει ότι ο χρήστης έχει ανοίξει το Activity Monitor, σταματά αμέσως όλες τις διεργασίες του για να αποφύγει τον εντοπισμό».

Οι περιπτώσεις απειλών που ομαδοποιούν κακόβουλο λογισμικό σε πειρατικές εφαρμογές macOS ήταν σπάνιες. Στην πραγματικότητα, μια από τις τελευταίες γνωστές περιπτώσεις μιας τέτοιας επιχείρησης ήταν τον Ιούλιο του 2020, όταν ερευνητές στο Malwarebytes ανακάλυψαν ένα πειρατική έκδοση του τείχους προστασίας της εφαρμογής Little Snitch που περιείχε ένα πρόγραμμα λήψης για μια παραλλαγή ransomware macOS.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/analytics/pirated-final-cut-pro-macos-stealth-malware-delivery