Este posibil ca persoanele care folosesc versiuni piratate ale software-ului de editare video Final Cut Pro de la Apple să fi obținut mai mult decât s-au chindit atunci când au descărcat software-ul din numeroasele torrente ilicite prin care este disponibil.
Cel puțin în ultimele câteva luni, un actor necunoscut amenințări a folosit o versiune piratată a software-ului macOS pentru a furniza instrumentul de extragere a criptomonedei XMRig pe sistemele aparținând persoanelor care au descărcat aplicația.
Cercetătorii de la Jamf care au observat recent operațiunea nu au reușit să determine câți utilizatori ar fi instalat software-ul armat pe sistemul lor și că în prezent rulează XMRig pe ele, dar nivelul de partajare a software-ului sugerează că ar putea fi de sute.
Impact potențial larg pentru XMRig
Jaron Bradley, expert în detectarea macOS la Jamf, spune că compania sa a observat peste 400 de seeders – sau utilizatori care au aplicația completă – făcând-o disponibilă prin torrent pentru cei care o doresc. Furnizorul de securitate a constatat că persoana care a încărcat inițial versiunea cu arme a Final Cut Pro pentru partajarea torrentului este cineva cu un istoric de mai mulți ani de încărcare a software-ului macOS piratat cu același criptominer. Software-ul în care actorul amenințării a introdus anterior malware-ul include versiuni macOS piratate ale Logic Pro și Adobe Photoshop.
„Având în vedere numărul relativ mare de seederi și [faptul] că autorul malware-ului a fost suficient de motivat pentru a actualiza și încărca în mod continuu malware-ul pe parcursul a trei ani și jumătate, bănuim că are o acoperire destul de largă”, spune Bradley. .
Jamf a descris Final Cut Pro otrăvit eșantion pe care l-a descoperit ca o versiune nouă și îmbunătățită a eșantioanelor anterioare ale malware-ului, cu caracteristici de ofuscare care l-au făcut aproape invizibil pentru scanerele malware de pe VirusTotal. Un atribut cheie al malware-ului este utilizarea protocolului Invisible Internet Project (i2p) pentru comunicare. I2p este un nivel de rețea privată care oferă utilizatorilor un tip similar de anonimat cu cel oferit de rețeaua The Onion Router (Tor). Tot traficul i2p există în interiorul rețelei, adică nu atinge direct internetul.
„Autorul de malware nu ajunge niciodată la un site web situat oriunde, cu excepția rețelei i2p”, spune Bradley. „Toate instrumentele pentru atacatori sunt descărcate prin rețeaua anonimă i2p, iar moneda extrasă este trimisă și în portofelul atacatorilor prin i2p.”
Cu versiunea piratată a Final Cut Pro pe care Jamf a descoperit-o, actorul amenințării modificase binarul principal, astfel încât, atunci când un utilizator face dublu clic pe pachetul de aplicații, executabilul principal este un dropper de malware. Dropper-ul este responsabil pentru desfășurarea tuturor activităților rău intenționate ulterioare pe sistem, inclusiv lansarea criptominerului în fundal și apoi afișarea aplicației piratate către utilizator, spune Bradley.
Evoluție continuă a programelor malware
După cum sa menționat, una dintre cele mai notabile diferențe dintre cea mai recentă versiune a malware-ului și versiunile anterioare este stealth-ul sporit. - dar acesta a fost un model.
Cea mai veche versiune – inclusă în software-ul macOS piratat în 2019 – a fost cea mai puțin furioasă și minată criptomonedă tot timpul, indiferent dacă utilizatorul se afla sau nu la computer. Acest lucru a făcut-o ușor de observat. O iterație ulterioară a malware-ului a devenit mai furioasă; ar începe să extragă criptomonede abia atunci când utilizatorul deschidea un program software piratat.
„Acest lucru a îngreunat utilizatorilor să detecteze activitatea malware-ului, dar va continua minarea până când utilizatorul se deconecta sau repornește computerul. În plus, autorii au început să folosească o tehnică numită codificare de bază 64 pentru a ascunde șirurile de cod suspecte asociate cu malware-ul, ceea ce face mai dificilă detectarea programelor antivirus”, spune Bradley.
El îi spune lui Dark Reading că, cu cea mai recentă versiune, malware-ul schimbă numele procesului pentru a arăta identic cu procesele de sistem. „Acest lucru face dificil pentru utilizator să distingă procesele malware de cele native atunci când vizualizează o listă de procese folosind un instrument de linie de comandă.
O caracteristică care a rămas constantă prin diferitele versiuni ale malware-ului este monitorizarea constantă a aplicației „Activity Monitor”. Utilizatorii pot deschide adesea aplicația pentru a depana problemele cu computerele lor și, în acest fel, ar putea ajunge să detecteze malware-ul. Deci, „odată ce malware-ul detectează că utilizatorul a deschis Monitorul de activitate, își oprește imediat toate procesele pentru a evita detectarea.”
Instanța unor actori de amenințări care grupează programe malware în aplicații macOS piratate au fost rare și îndepărtate. De fapt, una dintre ultimele cazuri binecunoscute ale unei astfel de operațiuni a fost în iulie 2020, când cercetătorii de la Malwarebytes au descoperit un versiunea piratată a aplicației firewall Little Snitch care conținea un program de descărcare pentru o variantă de ransomware macOS.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/analytics/pirated-final-cut-pro-macos-stealth-malware-delivery
- 2019
- 2020
- 7
- a
- activitate
- actori
- În plus,
- chirpici
- TOATE
- și
- anonimat
- Anonim
- antivirus
- oriunde
- aplicaţia
- Apple
- aplicație
- Apps
- asociate
- autor
- Autorii
- disponibil
- înapoi
- fundal
- de bază
- între
- Pachet
- denumit
- purtător
- Modificări
- cod
- Comunicare
- companie
- Completă
- calculator
- Calculatoare
- consistent
- constant
- continuu
- ar putea
- Curs
- cryptocurrency
- Cryptocurrency Mining
- Monedă
- În prezent
- Tăiat
- Întuneric
- Lectură întunecată
- livra
- livrare
- descris
- Detectare
- Determina
- diferenţele
- diferit
- dificil
- direct
- a descoperit
- afișarea
- distinge
- face
- dubla
- software de editare
- suficient de
- Cu excepția
- expert
- destul de
- Caracteristică
- DESCRIERE
- final
- firewall
- găsit
- din
- mai mult
- dat
- Jumătate
- Ascunde
- Înalt
- Cum
- HTTPS
- sute
- identic
- ilicit
- imediat
- Impactul
- îmbunătățit
- in
- include
- Inclusiv
- a crescut
- individ
- instalat
- Internet
- IT
- repetare
- iulie
- A pastra
- Cheie
- Copil
- Nume
- Ultimele
- lansare
- strat
- Nivel
- listare
- mic
- situat
- Uite
- MacOS
- făcut
- Principal
- FACE
- Efectuarea
- malware
- Malwarebytes
- multe
- sens
- ar putea
- minat
- Minerit
- modificată
- monitor
- Monitorizarea
- luni
- mai mult
- cele mai multe
- motivat
- multi anual
- nume
- nativ
- reţea
- Nou
- notabil
- notat
- număr
- oferit
- promoții
- ONE
- deschide
- deschis
- operaţie
- iniţial
- trecut
- Model
- oameni
- Plato
- Informații despre date Platon
- PlatoData
- precedent
- în prealabil
- privat
- Pro
- probleme
- proces
- procese
- Program
- Programe
- proiect
- protocol
- Ransomware
- RAR
- ajunge
- aTINGE
- Citind
- recent
- record
- relativ
- a ramas
- cercetători
- responsabil
- repornit
- router
- funcţionare
- acelaşi
- spune
- securitate
- câteva
- partajarea
- asemănător
- So
- Software
- Cineva
- Loc
- Începe
- început
- Stealth
- opriri
- astfel de
- sugerează
- suspicios
- sistem
- sisteme
- spune
- lor
- amenințare
- actori amenințători
- trei
- Prin
- timp
- la
- instrument
- Tor
- Torent
- atingeţi
- urmări
- trafic
- Actualizează
- încărcat
- Se încarcă
- utilizare
- Utilizator
- utilizatorii
- Variantă
- vânzător
- versiune
- de
- Video
- Portofel
- website
- bine cunoscut
- dacă
- care
- OMS
- larg
- în
- ar
- ani
- zephyrnet
