As pessoas que usam versões piratas do software de edição de vídeo Final Cut Pro da Apple podem ter conseguido mais do que esperavam quando baixaram o software de muitos torrents ilícitos através dos quais ele está disponível.
Pelo menos nos últimos meses, um agente de ameaça desconhecido usou uma versão pirata do software macOS para fornecer a ferramenta de mineração de criptomoeda XMRig em sistemas pertencentes a pessoas que baixaram o aplicativo.
Pesquisadores da Jamf que recentemente detectaram a operação não conseguiram determinar quantos usuários podem ter instalado o software armado em seu sistema e atualmente têm o XMRig rodando neles, mas o nível de compartilhamento do software sugere que podem ser centenas.
Impacto potencialmente amplo para XMRig
Jaron Bradley, especialista em detecções de macOS da Jamf, diz que sua empresa detectou mais de 400 seeders - ou usuários que possuem o aplicativo completo - disponibilizando-o via torrent para quem quiser. O fornecedor de segurança descobriu que o indivíduo que originalmente carregou a versão armada do Final Cut Pro para compartilhamento de torrent é alguém com um histórico de vários anos de upload de software macOS pirata com o mesmo criptominerador. O software no qual o agente da ameaça já havia inserido o malware inclui versões piratas do macOS do Logic Pro e do Adobe Photoshop.
“Dado o número relativamente alto de seeders e [o fato] de que o autor do malware foi motivado o suficiente para atualizar e carregar continuamente o malware ao longo de três anos e meio, suspeitamos que ele tenha um alcance bastante amplo”, diz Bradley .
Jamf descreveu o envenenado Final Cut Pro sample que descobriu como uma versão nova e aprimorada de amostras anteriores do malware, com recursos de ofuscação que o tornaram quase invisível para os scanners de malware do VirusTotal. Um atributo chave do malware é o uso do protocolo Invisible Internet Project (i2p) para comunicação. I2p é uma camada de rede privada que oferece aos usuários um tipo de anonimato semelhante ao oferecido pela rede Onion Router (Tor). Todo o tráfego i2p existe dentro da rede, o que significa que não toca na Internet diretamente.
“O autor do malware nunca acessa um site localizado em qualquer lugar, exceto na rede i2p”, diz Bradley. “Todas as ferramentas do invasor são baixadas pela rede i2p anônima e a moeda extraída também é enviada para a carteira dos invasores por i2p.”
Com a versão pirata do Final Cut Pro que Jamf descobriu, o agente da ameaça modificou o binário principal, então, quando um usuário clica duas vezes no pacote de aplicativos, o executável principal é um conta-gotas de malware. O conta-gotas é responsável por realizar todas as outras atividades maliciosas no sistema, incluindo iniciar o criptominerador em segundo plano e exibir o aplicativo pirata para o usuário, diz Bradley.
Evolução Contínua do Malware
Conforme observado, uma das diferenças mais notáveis entre a versão mais recente do malware e as versões anteriores é sua maior discrição - mas isso tem sido um padrão.
A versão mais antiga - incluída no software macOS pirata em 2019 - era a criptomoeda menos furtiva e minada o tempo todo, quer o usuário estivesse no computador ou não. Isso facilitou a localização. Uma iteração posterior do malware ficou mais sorrateira; ele só começaria a minerar criptomoedas quando o usuário abrisse um programa de software pirata.
“Isso tornou mais difícil para os usuários detectar a atividade do malware, mas continuaria minerando até que o usuário se desconectasse ou reiniciasse o computador. Além disso, os autores começaram a usar uma técnica chamada codificação de base 64 para ocultar cadeias de código suspeitas associadas ao malware, dificultando a detecção por programas antivírus”, diz Bradley.
Ele diz ao Dark Reading que, com a versão mais recente, o malware altera o nome do processo para parecer idêntico aos processos do sistema. “Isso torna difícil para o usuário distinguir os processos de malware dos nativos ao visualizar uma lista de processos usando uma ferramenta de linha de comando.
Um recurso que permaneceu consistente nas diferentes versões do malware é o monitoramento constante do aplicativo “Activity Monitor”. Os usuários geralmente podem abrir o aplicativo para solucionar problemas com seus computadores e, ao fazer isso, podem acabar detectando o malware. Assim, “uma vez que o malware detecta que o usuário abriu o Activity Monitor, ele interrompe imediatamente todos os seus processos para evitar a detecção”.
Instâncias de agentes de ameaças agrupando malware em aplicativos macOS piratas são raras e distantes entre si. De fato, uma das últimas instâncias conhecidas de tal operação foi em julho de 2020, quando pesquisadores da Malwarebytes descobriram um versão pirata do firewall do aplicativo Little Snitch que continha um downloader para uma variante do macOS ransomware.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- Platoblockchain. Inteligência Metaverso Web3. Conhecimento Ampliado. Acesse aqui.
- Fonte: https://www.darkreading.com/analytics/pirated-final-cut-pro-macos-stealth-malware-delivery
- 2019
- 2020
- 7
- a
- atividade
- atores
- Adicionalmente
- adobe
- Todos os Produtos
- e
- Anonimato
- Anônimo
- antivirus
- qualquer lugar
- app
- Apple
- Aplicação
- Aplicativos
- associado
- autor
- autores
- disponível
- em caminho duplo
- fundo
- base
- entre
- Pacote
- chamado
- transporte
- Alterações
- código
- Comunicação
- Empresa
- completar
- computador
- computadores
- consistente
- constante
- continuamente
- poderia
- Para
- criptomoedas
- Mineração Cryptocurrency
- Moeda
- Atualmente
- Cortar
- Escuro
- Leitura escura
- entregar
- Entrega
- descrito
- Detecção
- Determinar
- diferenças
- diferente
- difícil
- diretamente
- descoberto
- exibindo
- distinguir
- fazer
- duplo
- software de edição
- suficiente
- Exceto
- especialista
- bastante
- Característica
- Funcionalidades
- final
- firewall
- encontrado
- da
- mais distante
- dado
- Metade
- Esconder
- Alta
- Como funciona o dobrador de carta de canal
- HTTPS
- Centenas
- idêntico
- ilícito
- imediatamente
- Impacto
- melhorado
- in
- inclui
- Incluindo
- aumentou
- Individual
- instalado
- Internet
- IT
- iteração
- Julho
- Guarda
- Chave
- Tipo
- Sobrenome
- mais recente
- de lançamento
- camada
- Nível
- listagem
- pequeno
- localizado
- olhar
- MacOS
- moldadas
- a Principal
- FAZ
- Fazendo
- malwares
- Malwarebytes
- muitos
- significado
- poder
- minado
- Mineração
- modificada
- Monitore
- monitoração
- mês
- mais
- a maioria
- motivados
- plurianual
- nome
- nativo
- rede
- Novo
- notável
- notado
- número
- oferecido
- Oferece
- ONE
- aberto
- aberto
- operação
- originalmente
- passado
- padrão
- Pessoas
- platão
- Inteligência de Dados Platão
- PlatãoData
- anterior
- anteriormente
- privado
- Pro
- problemas
- processo
- processos
- Agenda
- Programas
- projeto
- protocolo
- ransomware
- RARO
- alcançar
- Chega
- Leitura
- recentemente
- registro
- relativamente
- permaneceu
- pesquisadores
- responsável
- reiniciado
- roteador
- corrida
- mesmo
- diz
- segurança
- vários
- compartilhando
- semelhante
- So
- Software
- Alguém
- Spot
- começo
- começado
- Stealth
- Pára
- tal
- Sugere
- suspeito
- .
- sistemas
- conta
- A
- deles
- ameaça
- atores de ameaças
- três
- Através da
- tempo
- para
- ferramenta
- Portão
- torrente
- tocar
- pista
- tráfego
- Atualizar
- carregado
- Upload
- usar
- Utilizador
- usuários
- Variante
- fornecedor
- versão
- via
- Vídeo
- Wallet
- Site
- bem conhecido
- se
- qual
- QUEM
- Largo
- dentro
- seria
- anos
- zefirnet
