海賊版の macOS 用 Final Cut Pro がステルス マルウェア配信を提供

Apple の Final Cut Pro ビデオ編集ソフトウェアの海賊版を使用している人々は、入手可能な多くの違法な torrent からソフトウェアをダウンロードしたときに、交渉した以上のものを手に入れた可能性があります。

少なくとも過去数か月間、未知の攻撃者が macOS ソフトウェアの海賊版を使用して、XMRig 暗号通貨マイニング ツールをアプリをダウンロードしたユーザーのシステムに配信していました。

最近この操作を発見した Jamf の研究者は、システムに兵器化されたソフトウェアをインストールし、現在 XMRig を実行している可能性のあるユーザーの数を特定できませんでしたが、ソフトウェアの共有レベルからすると、それが数百に及ぶ可能性があることが示唆されています。

XMRig への潜在的な広範な影響

Jamf の macOS 検出の専門家である Jaron Bradley 氏によると、彼の会社は 400 人以上のシーダー (完全なアプリを持っているユーザー) を発見し、必要な人に torrent 経由で提供しています。 セキュリティ ベンダーは、Final Cut Pro の武器化されたバージョンをトレント共有用に最初にアップロードした個人が、同じクリプトマイナーを使用して海賊版の macOS ソフトウェアをアップロードした複数年の実績を持つ人物であることを発見しました。 攻撃者が以前にマルウェアを潜入させたソフトウェアには、Logic Pro および Adob​​e Photoshop の海賊版 macOS バージョンが含まれます。

「シーダーの数が比較的多いことと、マルウェア作成者が XNUMX 年半にわたってマルウェアを継続的に更新およびアップロードすることに十分な動機を持っていることを考えると、かなり広範囲に影響を及ぼしているのではないかと考えています」と Bradley 氏は述べています。 .

Jamf は汚染された Final Cut Pro について説明しました これは、VirusTotal のマルウェア スキャナーからほとんど見えないようにする難読化機能を備えた、マルウェアの以前のサンプルの新しい改良版として発見されたものです。 このマルウェアの重要な特徴の 2 つは、通信に Invisible Internet Project (i2p) プロトコルを使用していることです。 I2p は、The Onion Router (Tor) ネットワークが提供するものと同様の種類の匿名性をユーザーに提供するプライベート ネットワーク層です。 すべての iXNUMXp トラフィック ネットワーク内に存在、つまり、インターネットには直接触れません。

「マルウェア作成者は、i2p ネットワーク内以外の場所にある Web サイトにアクセスすることはありません」と Bradley 氏は言います。 「攻撃者のツールはすべて匿名の i2p ネットワーク経由でダウンロードされ、マイニングされた通貨も i2p 経由で攻撃者のウォレットに送信されます。」

Jamf が発見した Final Cut Pro の海賊版では、攻撃者がメイン バイナリを改変していたため、ユーザーがアプリケーション バンドルをダブルクリックすると、メインの実行可能ファイルがマルウェア ドロッパーになっていました。 ドロッパーは、バックグラウンドでクリプトマイナーを起動し、海賊版アプリケーションをユーザーに表示するなど、システム上でさらにすべての悪意のあるアクティビティを実行する責任があると Bradley 氏は言います。

継続的なマルウェアの進化

前述のように、マルウェアの最新バージョンと以前のバージョンの最も顕著な違いの XNUMX つは、ステルス性の向上です。 - しかし、これはパターンでした。 

2019 年に海賊版の macOS ソフトウェアにバンドルされていた最も初期のバージョンは、ユーザーがコンピューターを使用しているかどうかにかかわらず、最もステルス性が低く、常に暗号通貨をマイニングしていました。 これで見分けやすくなりました。 マルウェアのその後の反復はより巧妙になりました。 ユーザーが海賊版ソフトウェア プログラムを開いたときにのみ、暗号通貨のマイニングが開始されます。 

「これにより、ユーザーがマルウェアの活動を検出するのが難しくなりましたが、ユーザーがログアウトするか、コンピューターを再起動するまでマイニングが続けられました。 さらに、作成者は base 64 エンコーディングと呼ばれる手法を使用して、マルウェアに関連する疑わしいコードの文字列を隠し、ウイルス対策プログラムによる検出を困難にしました」と Bradley 氏は言います。

彼は Dark Reading に、最新バージョンでは、マルウェアがプロセス名をシステム プロセスと同じように変更していると語っています。 「これにより、ユーザーは、コマンドライン ツールを使用してプロセス リストを表示する際に、マルウェア プロセスとネイティブ プロセスを区別することが困難になります。

マルウェアのさまざまなバージョンで一貫して維持されている機能の XNUMX つは、「アクティビティ モニター」アプリケーションを常に監視していることです。 多くの場合、ユーザーはアプリを開いてコンピューターの問題をトラブルシューティングできますが、そうするとマルウェアが検出される可能性があります。 そのため、「ユーザーがアクティビティ モニターを開いたことがマルウェアによって検出されると、検出を回避するためにすべてのプロセスが直ちに停止されます。」

海賊版の macOS アプリにマルウェアをバンドルする脅威アクターの例はほとんどありません。 実際、そのような操作の最後の有名な例の 2020 つは、XNUMX 年 XNUMX 月に Malwarebytes の研究者が発見したものでした。 アプリケーション ファイアウォールの海賊版 Little Snitch これには、macOS ランサムウェアの亜種のダウンローダーが含まれていました。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/analytics/pirated-final-cut-pro-macos-stealth-malware-delivery