Apple'i videotöötlustarkvara Final Cut Pro piraatversioone kasutavad inimesed võisid tarkvara allalaadimisel paljudest ebaseaduslikest torrentitest, mille kaudu see saadaval on, saada rohkem, kui nad kokku leppisid.
Vähemalt viimase paari kuu jooksul on tundmatu ohutegija kasutanud macOS-i tarkvara piraatversiooni, et pakkuda krüptovaluutade kaevandamise tööriista XMRig süsteemidesse, mis kuuluvad rakenduse alla laadinud inimestele.
Hiljuti operatsiooni märganud Jamfi teadlased ei ole suutnud kindlaks teha, kui palju kasutajaid võis oma süsteemi relvastatud tarkvara installida ja praegu töötab neil XMRig, kuid tarkvara jagamise tase viitab sellele, et see võib olla sadu.
XMRigi potentsiaalselt lai mõju
Jaron Bradley, Jamfi macOS-i tuvastamise ekspert, ütleb, et tema ettevõte märkas üle 400 külviseadme või kasutaja, kellel on täielik rakendus, mis tegi selle soovijatele torrenti kaudu kättesaadavaks. Turvamüüja leidis, et isik, kes algselt torrenti jagamiseks Final Cut Pro relvastatud versiooni üles laadis, on keegi, kellel on mitu aastat kogemusi sama krüptomineriga piraat-macOS-i tarkvara üleslaadimisel. Tarkvara, millesse ohustaja oli varem pahavara sisse hiilinud, hõlmab Logic Pro ja Adobe Photoshopi piraatversioone macOS-is.
"Arvestades külvajate suhteliselt suurt arvu ja [tõsiasi], et pahavara autor on olnud piisavalt motiveeritud pahavara pidevaks värskendamiseks ja üleslaadimiseks kolme ja poole aasta jooksul, kahtlustame, et sellel on üsna lai haare," ütleb Bradley. .
Jamf kirjeldas mürgitatud Final Cut Pro-d näidis, mille ta avastas pahavara eelmiste näidiste uue ja täiustatud versioonina koos hägususfunktsioonidega, mis on muutnud selle VirusTotali pahavara skannerite jaoks peaaegu nähtamatuks. Pahavara üks peamisi atribuute on Invisible Internet Project (i2p) protokolli kasutamine suhtluseks. I2p on privaatne võrgukiht, mis pakub kasutajatele sarnast anonüümsust nagu võrk The Onion Router (Tor). Kogu i2p liiklus võrgu sees olemas, mis tähendab, et see ei puuduta otseselt Internetti.
"Pahavara autor ei jõua kunagi veebisaidile, mis asub mujal, välja arvatud i2p-võrgus," ütleb Bradley. "Kõik ründaja tööriistad laaditakse alla anonüümse i2p võrgu kaudu ja kaevandatud valuuta saadetakse ka i2p kaudu ründajate rahakotti."
Jamfi avastanud Final Cut Pro piraatversiooniga muutis ohutegija peamist kahendfaili, nii et kui kasutaja topeltklõpsab rakenduste kogumil, on peamiseks käivitatavaks failiks pahavara tilgutaja. Bradley ütleb, et tilguti vastutab kogu edasise pahatahtliku tegevuse eest süsteemis, sealhulgas taustal krüptomeeri käivitamise ja seejärel kasutajale piraatrakenduse kuvamise eest.
Pahavara pidev areng
Nagu märgitud, on üks silmapaistvamaid erinevusi pahavara uusima versiooni ja eelmiste versioonide vahel selle suurenenud vargus - aga see on olnud muster.
Varaseim versioon – 2019. aastal piraat-macOS-i tarkvaraga kaasas – oli kõige vähem varjatud ja kogu aeg kaevandatud krüptovaluutat olenemata sellest, kas kasutaja oli arvuti taga või mitte. See tegi selle tuvastamise lihtsaks. Pahavara hilisem iteratsioon muutus totramaks; see hakkaks krüptovaluutat kaevandama alles siis, kui kasutaja avas piraattarkvara.
"See muutis kasutajatel pahavara tegevuse tuvastamise raskemaks, kuid see jätkas kaevandamist, kuni kasutaja logib välja või taaskäivitab arvuti. Lisaks hakkasid autorid kasutama tehnikat, mida nimetatakse base 64 kodeerimiseks, et varjata pahavaraga seotud kahtlasi koodijadasid, muutes viirusetõrjeprogrammide tuvastamise raskemaks, ”ütleb Bradley.
Ta ütleb Dark Readingile, et uusima versiooniga muudab pahavara protsessi nime, et see näeks välja süsteemiprotsessidega identne. "See muudab kasutajal keeruliseks eristada pahavara protsesse algsetest protsessidest, kui nad vaatavad protsesside loendit käsurea tööriista abil.
Üks funktsioon, mis on ründevara erinevate versioonide kaudu järjepidevaks jäänud, on selle pidev jälgimine rakenduse "Activity Monitor" üle. Kasutajad saavad sageli rakenduse avada, et teha oma arvutitega seotud probleeme ja see võib lõppeda pahavara tuvastamisega. Niisiis, "kui pahavara tuvastab, et kasutaja on aktiivsusmonitori avanud, peatab see tuvastamise vältimiseks kohe kõik oma protsessid."
Juhtumeid, kus ohus osalejad pahavara piraat-macOS-i rakendustesse ühendavad, on juhtunud harva. Tegelikult oli üks viimaseid tuntud juhtumeid sellisest operatsioonist juulis 2020, kui Malwarebytesi teadlased avastasid Rakenduse tulemüüri Little Snitch piraatversioon mis sisaldas allalaadijat MacOS-i lunavara variandi jaoks.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.darkreading.com/analytics/pirated-final-cut-pro-macos-stealth-malware-delivery
- 2019
- 2020
- 7
- a
- tegevus
- osalejad
- Lisaks
- Adobe
- Materjal: BPA ja flataatide vaba plastik
- ja
- Anonüümsus
- anonüümne
- viirusetõrje
- kuskil
- app
- õun
- taotlus
- apps
- seotud
- autor
- autorid
- saadaval
- tagasi
- tagapõhi
- baas
- vahel
- Kimp
- kutsutud
- kes
- Vaidluste lahendamine
- kood
- KOMMUNIKATSIOON
- ettevõte
- täitma
- arvuti
- arvutid
- järjepidev
- pidev
- pidevalt
- võiks
- Kursus
- cryptocurrency
- Krüptovaluuta kaevandamine
- valuuta
- Praegu
- lõigatud
- tume
- Tume lugemine
- tarnima
- tarne
- kirjeldatud
- Detection
- Määrama
- erinevused
- erinev
- raske
- otse
- avastasin
- väljapanek
- eristama
- teeme
- kahekordistada
- redigeerimise tarkvara
- piisavalt
- Välja arvatud
- ekspert
- õiglaselt
- tunnusjoon
- FUNKTSIOONID
- lõplik
- tulemüüri
- avastatud
- Alates
- edasi
- antud
- Pool
- varjama
- Suur
- Kuidas
- HTTPS
- sajad
- identiques
- ebaseaduslik
- kohe
- mõju
- paranenud
- in
- hõlmab
- Kaasa arvatud
- kasvanud
- eraldi
- paigaldatud
- Internet
- IT
- iteratsioon
- Juuli
- hoidma
- Võti
- Laps
- viimane
- hiljemalt
- käivitamine
- kiht
- Tase
- loetelu
- vähe
- asub
- Vaata
- MacOS
- tehtud
- põhiline
- TEEB
- Tegemine
- malware
- Malwarebytes
- palju
- tähendus
- võib
- kaevandatud
- Kaevandamine
- modifitseeritud
- Jälgida
- järelevalve
- kuu
- rohkem
- kõige
- motiveeritud
- mitmeaastane
- nimi
- emakeelena
- võrk
- Uus
- märkimisväärne
- märkida
- number
- pakutud
- Pakkumised
- ONE
- avatud
- avatud
- töö
- algselt
- minevik
- Muster
- Inimesed
- Platon
- Platoni andmete intelligentsus
- PlatoData
- eelmine
- varem
- era-
- Pro
- probleeme
- protsess
- Protsessid
- Programm
- Programmid
- projekt
- protokoll
- ransomware
- HARULDANE
- jõudma
- Jõuab
- Lugemine
- hiljuti
- rekord
- suhteliselt
- jäi
- Teadlased
- vastutav
- taaskäivitatud
- ruuter
- jooksmine
- sama
- ütleb
- turvalisus
- mitu
- jagamine
- sarnane
- So
- tarkvara
- Keegi
- Kaubandus-
- algus
- alustatud
- Stealth
- Peatab
- selline
- Soovitab
- kahtlane
- süsteem
- süsteemid
- ütleb
- .
- oma
- oht
- ohus osalejad
- kolm
- Läbi
- aeg
- et
- tööriist
- Tor
- torrent
- puudutama
- jälgida
- liiklus
- Värskendused
- laetud
- Üleslaadimine
- kasutama
- Kasutaja
- Kasutajad
- variant
- müüja
- versioon
- kaudu
- Video
- rahakott
- veebisait
- hästi tuntud
- kas
- mis
- WHO
- lai
- jooksul
- oleks
- aastat
- sephyrnet
