Apple の Final Cut Pro ビデオ編集ソフトウェアの海賊版を使用している人々は、入手可能な多くの違法な torrent からソフトウェアをダウンロードしたときに、交渉した以上のものを手に入れた可能性があります。
少なくとも過去数か月間、未知の攻撃者が macOS ソフトウェアの海賊版を使用して、XMRig 暗号通貨マイニング ツールをアプリをダウンロードしたユーザーのシステムに配信していました。
最近この操作を発見した Jamf の研究者は、システムに兵器化されたソフトウェアをインストールし、現在 XMRig を実行している可能性のあるユーザーの数を特定できませんでしたが、ソフトウェアの共有レベルからすると、それが数百に及ぶ可能性があることが示唆されています。
XMRig への潜在的な広範な影響
Jamf の macOS 検出の専門家である Jaron Bradley 氏によると、彼の会社は 400 人以上のシーダー (完全なアプリを持っているユーザー) を発見し、必要な人に torrent 経由で提供しています。 セキュリティ ベンダーは、Final Cut Pro の武器化されたバージョンをトレント共有用に最初にアップロードした個人が、同じクリプトマイナーを使用して海賊版の macOS ソフトウェアをアップロードした複数年の実績を持つ人物であることを発見しました。 攻撃者が以前にマルウェアを潜入させたソフトウェアには、Logic Pro および Adobe Photoshop の海賊版 macOS バージョンが含まれます。
「シーダーの数が比較的多いことと、マルウェア作成者が XNUMX 年半にわたってマルウェアを継続的に更新およびアップロードすることに十分な動機を持っていることを考えると、かなり広範囲に影響を及ぼしているのではないかと考えています」と Bradley 氏は述べています。 .
Jamf は汚染された Final Cut Pro について説明しました これは、VirusTotal のマルウェア スキャナーからほとんど見えないようにする難読化機能を備えた、マルウェアの以前のサンプルの新しい改良版として発見されたものです。 このマルウェアの重要な特徴の 2 つは、通信に Invisible Internet Project (i2p) プロトコルを使用していることです。 I2p は、The Onion Router (Tor) ネットワークが提供するものと同様の種類の匿名性をユーザーに提供するプライベート ネットワーク層です。 すべての iXNUMXp トラフィック ネットワーク内に存在、つまり、インターネットには直接触れません。
「マルウェア作成者は、i2p ネットワーク内以外の場所にある Web サイトにアクセスすることはありません」と Bradley 氏は言います。 「攻撃者のツールはすべて匿名の i2p ネットワーク経由でダウンロードされ、マイニングされた通貨も i2p 経由で攻撃者のウォレットに送信されます。」
Jamf が発見した Final Cut Pro の海賊版では、攻撃者がメイン バイナリを改変していたため、ユーザーがアプリケーション バンドルをダブルクリックすると、メインの実行可能ファイルがマルウェア ドロッパーになっていました。 ドロッパーは、バックグラウンドでクリプトマイナーを起動し、海賊版アプリケーションをユーザーに表示するなど、システム上でさらにすべての悪意のあるアクティビティを実行する責任があると Bradley 氏は言います。
継続的なマルウェアの進化
前述のように、マルウェアの最新バージョンと以前のバージョンの最も顕著な違いの XNUMX つは、ステルス性の向上です。 - しかし、これはパターンでした。
2019 年に海賊版の macOS ソフトウェアにバンドルされていた最も初期のバージョンは、ユーザーがコンピューターを使用しているかどうかにかかわらず、最もステルス性が低く、常に暗号通貨をマイニングしていました。 これで見分けやすくなりました。 マルウェアのその後の反復はより巧妙になりました。 ユーザーが海賊版ソフトウェア プログラムを開いたときにのみ、暗号通貨のマイニングが開始されます。
「これにより、ユーザーがマルウェアの活動を検出するのが難しくなりましたが、ユーザーがログアウトするか、コンピューターを再起動するまでマイニングが続けられました。 さらに、作成者は base 64 エンコーディングと呼ばれる手法を使用して、マルウェアに関連する疑わしいコードの文字列を隠し、ウイルス対策プログラムによる検出を困難にしました」と Bradley 氏は言います。
彼は Dark Reading に、最新バージョンでは、マルウェアがプロセス名をシステム プロセスと同じように変更していると語っています。 「これにより、ユーザーは、コマンドライン ツールを使用してプロセス リストを表示する際に、マルウェア プロセスとネイティブ プロセスを区別することが困難になります。
マルウェアのさまざまなバージョンで一貫して維持されている機能の XNUMX つは、「アクティビティ モニター」アプリケーションを常に監視していることです。 多くの場合、ユーザーはアプリを開いてコンピューターの問題をトラブルシューティングできますが、そうするとマルウェアが検出される可能性があります。 そのため、「ユーザーがアクティビティ モニターを開いたことがマルウェアによって検出されると、検出を回避するためにすべてのプロセスが直ちに停止されます。」
海賊版の macOS アプリにマルウェアをバンドルする脅威アクターの例はほとんどありません。 実際、そのような操作の最後の有名な例の 2020 つは、XNUMX 年 XNUMX 月に Malwarebytes の研究者が発見したものでした。 アプリケーション ファイアウォールの海賊版 Little Snitch これには、macOS ランサムウェアの亜種のダウンローダーが含まれていました。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/analytics/pirated-final-cut-pro-macos-stealth-malware-delivery
- 2019
- 2020
- 7
- a
- アクティビティ
- 俳優
- さらに
- Adobe
- すべて
- および
- 匿名
- 匿名の
- アンチウイルス
- どこにでも
- アプリ
- Apple
- 申し込み
- アプリ
- 関連する
- 著者
- 著者
- 利用できます
- バック
- 背景
- ベース
- の間に
- 一式販売
- 呼ばれます
- 携帯
- 変更
- コード
- コミュニケーション
- 会社
- コンプリート
- コンピュータ
- コンピューター
- 整合性のある
- 定数
- 連続的に
- 可能性
- コース
- cryptocurrency
- 暗号化鉱業
- 通貨
- 現在
- カット
- 暗いです
- 暗い読書
- 配信する
- 配達
- 記載された
- 検出
- 決定する
- の違い
- 異なります
- 難しい
- 直接に
- 発見
- 表示
- 見分けます
- すること
- 編集ソフト
- 十分な
- 除く
- エキスパート
- かなり
- 特徴
- 特徴
- ファイナル
- ファイアウォール
- 発見
- から
- さらに
- 与えられた
- 半分
- 隠す
- ハイ
- 認定条件
- HTTPS
- 何百
- 同一の
- 不法
- 直ちに
- 影響
- 改善されました
- in
- 含ま
- 含めて
- 増加した
- 個人
- インストール
- インターネット
- IT
- 繰り返し
- 7月
- キープ
- キー
- 種類
- 姓
- 最新の
- 発射
- 層
- レベル
- リスト
- 少し
- 位置して
- 見て
- MacOSの
- 製
- メイン
- 作る
- 作成
- マルウェア
- Malwarebytes
- 多くの
- 意味
- かもしれない
- 採掘された
- 鉱業
- 修正されました
- モニター
- モニタリング
- ヶ月
- 他には?
- 最も
- やる気
- 複数年
- 名
- ネイティブ
- ネットワーク
- 新作
- 注目すべき
- 注意
- 数
- 提供
- オファー
- ONE
- 開いた
- 開かれた
- 操作
- 元々
- 過去
- パターン
- のワークプ
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 前
- 前に
- プライベート
- Pro
- 問題
- プロセス
- ラボレーション
- 演奏曲目
- プログラム
- プロジェクト
- ランサムウェア
- 珍しい
- リーチ
- 達します
- リーディング
- 最近
- 記録
- 相対的に
- 残った
- 研究者
- 責任
- 再起動した
- ルータ
- ランニング
- 同じ
- 言う
- セキュリティ
- いくつかの
- シェアリング
- 同様の
- So
- ソフトウェア
- 誰か
- Spot
- start
- 開始
- Stealth
- 停止する
- そのような
- 提案する
- 疑わしい
- システム
- 伝える
- アプリ環境に合わせて
- 脅威
- 脅威アクター
- 三
- 介して
- 時間
- 〜へ
- ツール
- Torの
- 急流
- touch
- 追跡する
- トラフィック
- アップデイト
- アップロード
- アップロード
- つかいます
- ユーザー
- users
- バリアント
- ベンダー
- バージョン
- 、
- ビデオ
- 財布
- ウェブサイト
- 周知
- かどうか
- which
- 誰
- ワイド
- 以内
- でしょう
- 年
- ゼファーネット