Final Cut Pro pirateado para macOS ofrece entrega de malware sigiloso

Las personas que usan versiones pirateadas del software de edición de video Final Cut Pro de Apple pueden haber obtenido más de lo que esperaban cuando descargaron el software de los muchos torrents ilícitos a través de los cuales está disponible.

Al menos durante los últimos meses, un actor de amenazas desconocido ha utilizado una versión pirateada del software macOS para entregar la herramienta de minería de criptomonedas XMRig en sistemas pertenecientes a personas que descargaron la aplicación.

Los investigadores de Jamf que detectaron recientemente la operación no pudieron determinar cuántos usuarios podrían haber instalado el software armado en su sistema y actualmente tienen XMRig ejecutándose en ellos, pero el nivel de uso compartido del software sugiere que podrían ser cientos.

Impacto potencialmente amplio para XMRig

Jaron Bradley, experto en detecciones de macOS en Jamf, dice que su empresa detectó más de 400 sembradores, o usuarios que tienen la aplicación completa, que la ponen a disposición a través de torrent para quienes la desean. El proveedor de seguridad descubrió que la persona que subió originalmente la versión armada de Final Cut Pro para compartir torrents es alguien con un historial de varios años de subir software macOS pirateado con el mismo criptominero. El software en el que el actor de amenazas había infiltrado previamente el malware incluye versiones pirateadas de macOS de Logic Pro y Adobe Photoshop.

"Dada la cantidad relativamente alta de sembradores y [el hecho] de que el autor del malware ha estado lo suficientemente motivado para actualizar y cargar continuamente el malware en el transcurso de tres años y medio, sospechamos que tiene un alcance bastante amplio", dice Bradley. .

Jamf describió el Final Cut Pro envenenado muestra que descubrió como una versión nueva y mejorada de muestras anteriores del malware, con características de ofuscación que lo han hecho casi invisible para los escáneres de malware en VirusTotal. Un atributo clave del malware es su uso del protocolo Invisible Internet Project (i2p) para la comunicación. I2p es una capa de red privada que ofrece a los usuarios un tipo de anonimato similar al que ofrece la red The Onion Router (Tor). Todo el tráfico i2p existe dentro de la red, lo que significa que no toca Internet directamente.

“El autor del malware nunca llega a un sitio web ubicado en cualquier lugar excepto dentro de la red i2p”, dice Bradley. "Todas las herramientas del atacante se descargan a través de la red i2p anónima y la moneda extraída también se envía a la billetera de los atacantes a través de i2p".

Con la versión pirateada de Final Cut Pro que Jamf descubrió, el actor de amenazas había modificado el binario principal para que cuando un usuario haga doble clic en el paquete de aplicaciones, el ejecutable principal sea un cuentagotas de malware. El cuentagotas es responsable de llevar a cabo toda la actividad maliciosa adicional en el sistema, incluido el lanzamiento del criptominero en segundo plano y luego mostrar la aplicación pirateada al usuario, dice Bradley.

Evolución continua del malware

Como se señaló, una de las diferencias más notables entre la última versión del malware y las versiones anteriores es su mayor sigilo. - pero esto ha sido un patrón. 

La versión más antigua, incluida en el software macOS pirateado en 2019, fue la criptomoneda menos sigilosa y minada todo el tiempo, ya sea que el usuario estuviera en la computadora o no. Esto hizo que fuera fácil de detectar. Una iteración posterior del malware se volvió más astuta; solo comenzaría a extraer criptomonedas cuando el usuario abriera un programa de software pirateado. 

“Esto dificultó que los usuarios detectaran la actividad del malware, pero continuaría minando hasta que el usuario cerrara la sesión o reiniciara la computadora. Además, los autores comenzaron a usar una técnica llamada codificación base 64 para ocultar cadenas de código sospechosas asociadas con el malware, lo que dificulta la detección de los programas antivirus”, dice Bradley.

Él le dice a Dark Reading que con la última versión, el malware cambia el nombre del proceso para que parezca idéntico a los procesos del sistema. “Esto dificulta que el usuario distinga los procesos de malware de los nativos cuando ve una lista de procesos utilizando una herramienta de línea de comandos.

Una característica que se ha mantenido consistente a través de las diferentes versiones del malware es su monitoreo constante de la aplicación "Monitor de actividad". Los usuarios a menudo pueden abrir la aplicación para solucionar problemas con sus computadoras y, al hacerlo, podrían terminar detectando el malware. Así, “una vez que el malware detecta que el usuario ha abierto el Monitor de actividad, detiene inmediatamente todos sus procesos para evitar la detección”.

Los casos de actores de amenazas que empaquetan malware en aplicaciones macOS pirateadas han sido raros y distantes entre sí. De hecho, uno de los últimos casos conocidos de una operación de este tipo fue en julio de 2020, cuando los investigadores de Malwarebytes descubrieron un versión pirateada del cortafuegos de la aplicación Little Snitch que contenía un descargador para una variante de ransomware macOS.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
• Fuente: https://www.darkreading.com/analytics/pirated-final-cut-pro-macos-stealth-malware-delivery