Ljudje, ki uporabljajo piratske različice Applove programske opreme za urejanje videa Final Cut Pro, so morda dobili več, kot so pričakovali, ko so programsko opremo prenesli iz številnih nezakonitih torrentov, prek katerih je na voljo.
Vsaj zadnjih nekaj mesecev je neznan akter grožnje uporabljal piratsko različico programske opreme macOS za dostavo orodja za rudarjenje kriptovalut XMRig v sistemih, ki pripadajo ljudem, ki so prenesli aplikacijo.
Raziskovalci iz Jamfa, ki so pred kratkim opazili operacijo, niso mogli ugotoviti, koliko uporabnikov je morda namestilo oboroženo programsko opremo v svoj sistem in na njih trenutno deluje XMRig, vendar stopnja skupne rabe programske opreme kaže, da bi jih lahko bilo na stotine.
Potencialno velik vpliv za XMRig
Jaron Bradley, strokovnjak za odkrivanje macOS pri Jamfu, pravi, da je njegovo podjetje opazilo več kot 400 sejalnikov – ali uporabnikov, ki imajo celotno aplikacijo –, ki jo prek hudournika daje na voljo tistim, ki jo želijo. Prodajalec varnosti je ugotovil, da je posameznik, ki je prvotno naložil oboroženo različico Final Cut Pro za deljenje torrentov, nekdo z večletno zgodovino nalaganja piratske programske opreme macOS z istim kriptominerjem. Programska oprema, v katero je povzročitelj grožnje predhodno prikradel zlonamerno programsko opremo, vključuje piratske različice macOS Logic Pro in Adobe Photoshop.
»Glede na razmeroma veliko število sejalcev in [dejstvo], da je bil avtor zlonamerne programske opreme dovolj motiviran, da v treh letih in pol nenehno posodablja in nalaga zlonamerno programsko opremo, sumimo, da ima precej širok doseg,« pravi Bradley. .
Jamf je opisal zastrupljeni Final Cut Pro vzorec, ki ga je odkril kot novo in izboljšano različico prejšnjih vzorcev zlonamerne programske opreme, s funkcijami zamegljevanja, zaradi katerih je skoraj neviden za skenerje zlonamerne programske opreme na VirusTotal. Ena ključnih lastnosti zlonamerne programske opreme je uporaba protokola Invisible Internet Project (i2p) za komunikacijo. I2p je zasebna omrežna plast, ki uporabnikom ponuja podobno vrsto anonimnosti, kot jo ponuja omrežje The Onion Router (Tor). Ves i2p promet obstaja znotraj omrežja, kar pomeni, da se ne dotika neposredno interneta.
»Avtor zlonamerne programske opreme nikoli ne doseže spletnega mesta, ki se nahaja kjer koli, razen znotraj omrežja i2p,« pravi Bradley. "Vsa orodja za napadalce se prenesejo prek anonimnega omrežja i2p in izkopana valuta se prav tako pošlje v denarnico napadalcev prek i2p."
Pri piratski različici Final Cut Pro, ki jo je odkril Jamf, je povzročitelj grožnje spremenil glavno binarno datoteko, tako da je, ko uporabnik dvakrat klikne paket aplikacij, glavna izvršljiva datoteka zlonamerna programska oprema. Dropper je odgovoren za izvajanje vseh nadaljnjih zlonamernih dejavnosti v sistemu, vključno z zagonom kriptominerja v ozadju in nato prikazom piratske aplikacije uporabniku, pravi Bradley.
Nenehen razvoj zlonamerne programske opreme
Kot že omenjeno, je ena najbolj opaznih razlik med najnovejšo različico zlonamerne programske opreme in prejšnjimi različicami njena povečana prikritost - ampak to je bil vzorec.
Najzgodnejša različica – leta 2019 vključena v piratsko programsko opremo macOS – je bila najmanj prikrita in rudarjena kriptovaluta ves čas, ne glede na to, ali je bil uporabnik za računalnikom ali ne. To je olajšalo opazovanje. Kasnejša ponovitev zlonamerne programske opreme je postala bolj zahrbtna; kriptovaluto bi začel rudariti šele, ko bi uporabnik odprl piratski program.
»To je uporabnikom otežilo odkrivanje dejavnosti zlonamerne programske opreme, vendar je rudarjenje nadaljevalo, dokler se uporabnik ni odjavil ali znova zagnal računalnika. Poleg tega so avtorji začeli uporabljati tehniko, imenovano kodiranje base 64, da skrijejo sumljive nize kode, povezane z zlonamerno programsko opremo, zaradi česar jo protivirusni programi težje zaznajo,« pravi Bradley.
Dark Readingu pove, da z najnovejšo različico zlonamerna programska oprema spremeni ime procesa, da je videti enako sistemskim procesom. »Zaradi tega je uporabniku težko razlikovati procese zlonamerne programske opreme od izvornih, ko si ogleduje seznam procesov z orodjem ukazne vrstice.
Ena funkcija, ki je ostala dosledna skozi različne različice zlonamerne programske opreme, je njeno stalno spremljanje aplikacije »Activity Monitor«. Uporabniki lahko pogosto odprejo aplikacijo za odpravljanje težav s svojimi računalniki in pri tem lahko na koncu odkrijejo zlonamerno programsko opremo. Torej, "ko zlonamerna programska oprema zazna, da je uporabnik odprl Activity Monitor, takoj ustavi vse svoje procese, da se izogne odkrivanju."
Primeri, ko akterji groženj združujejo zlonamerno programsko opremo v piratske aplikacije macOS, so redki in zelo redki. Pravzaprav je bil eden zadnjih dobro znanih primerov takšne operacije julija 2020, ko so raziskovalci Malwarebytes odkrili piratska različica aplikacijskega požarnega zidu Little Snitch ki je vseboval program za prenos različice izsiljevalske programske opreme macOS.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
- vir: https://www.darkreading.com/analytics/pirated-final-cut-pro-macos-stealth-malware-delivery
- 2019
- 2020
- 7
- a
- dejavnost
- akterji
- Poleg tega
- Adobe
- vsi
- in
- anonimnost
- anonimni
- antivirus
- kjerkoli
- aplikacija
- Apple
- uporaba
- aplikacije
- povezan
- Avtor
- Avtorji
- Na voljo
- nazaj
- ozadje
- baza
- med
- Sveženj
- se imenuje
- knjigovodska
- Spremembe
- Koda
- Komunikacija
- podjetje
- dokončanje
- računalnik
- računalniki
- dosledno
- stalna
- stalno
- bi
- Tečaj
- cryptocurrency
- Rudarstvo s kripto valutami
- valuta
- Trenutno
- Cut
- Temnomodra
- Temno branje
- poda
- dostava
- opisano
- Odkrivanje
- Ugotovite,
- razlike
- drugačen
- težko
- neposredno
- odkril
- prikazovanje
- razlikovati
- tem
- podvojila
- urejanje programske opreme
- dovolj
- Razen
- strokovnjak
- pošteno
- Feature
- Lastnosti
- končna
- požarni zid
- je pokazala,
- iz
- nadalje
- dana
- Pol
- Skrij
- visoka
- Kako
- HTTPS
- Stotine
- enako
- nedovoljen
- takoj
- vpliv
- izboljšalo
- in
- vključuje
- Vključno
- povečal
- individualna
- nameščen
- Internet
- IT
- ponovitev
- julij
- Imejte
- Ključne
- Otrok
- Zadnja
- Zadnji
- začetek
- plast
- Stopnja
- seznam
- malo
- nahaja
- Poglej
- MacOS
- je
- Glavne
- IZDELA
- Izdelava
- zlonamerna programska oprema
- Malwarebytes
- več
- kar pomeni,
- morda
- minirano
- Rudarstvo
- spremembe
- monitor
- spremljanje
- mesecev
- več
- Najbolj
- motivirani
- večletno
- Ime
- materni
- mreža
- Novo
- opazen
- opozoriti
- Številka
- ponujen
- Ponudbe
- ONE
- odprite
- odprt
- Delovanje
- originalno
- preteklosti
- Vzorec
- ljudje
- platon
- Platonova podatkovna inteligenca
- PlatoData
- prejšnja
- prej
- zasebna
- za
- Težave
- Postopek
- Procesi
- Program
- programi
- Projekt
- protokol
- izsiljevalska
- REDKO
- dosežejo
- Doseže
- reading
- Pred kratkim
- zapis
- relativno
- ostalo
- raziskovalci
- odgovorna
- ponovno zagnan
- usmerjevalnik
- tek
- Enako
- pravi
- varnost
- več
- delitev
- Podoben
- So
- Software
- nekdo
- Komercialni
- Začetek
- začel
- Stealth
- Postanki
- taka
- Predlaga
- sumljiv
- sistem
- sistemi
- pove
- O
- njihove
- Grožnja
- akterji groženj
- 3
- skozi
- čas
- do
- orodje
- tor
- torrent
- na dotik
- sledenje
- Prometa
- Nadgradnja
- naložili
- Prenos
- uporaba
- uporabnik
- Uporabniki
- Variant
- Prodajalec
- različica
- preko
- Video
- denarnica
- Spletna stran
- dobro znana
- ali
- ki
- WHO
- široka
- v
- bi
- let
- zefirnet
