Jamf Threat Labs в четвъртък издаде доклад за нова заплаха от зловреден софтуер в macOS, която инсталира и изпълнява софтуер за крипто копаене. Зловреден софтуер е прикрепен към пиратски копия на Final Cut Pro, които се изтеглят от неоторизирани точки за разпространение в интернет.
Пиратските версии на Final Cut Pro имат прикачен инструмент за крипто копаене, наречен XMRig. Когато софтуерът се изтегли и инсталира, XMRig се стартира във фонов режим. Jamf съобщава, че само „шепа“ приложения за защита от зловреден софтуер са в състояние да открият скритата инсталация на XMRig от януари.
Самият XMRig често се използва законно от крипто копачи, но тъй като е помощна програма с отворен код, често е обект на нелегитимни употреби като тази. Когато XMRig работи във фонов режим, Mac отделя ресурси за обработка на задачите за копаене, което се отразява на производителността.
Jamf каза, че тази инсталация на злонамерен софтуер използва i2p, за да изпраща добитата криптовалута до портфейла на нападателя и да изтегля злонамерени софтуерни компоненти на Mac. Мрежовият протокол i2p е предназначен за поверителност; той е криптиран и използва тунел, използван само от потребителя, сървъра и всички други с предоставен достъп. Подобно на XMRig, i2p има легитимни употреби, но когато се използва от зловреден софтуер, увеличава трудността при проследяване на мрежовата активност.
Проучването на Jamf установи, че източникът на злонамерения софтуер е започнал да качва пиратски версии на Final Cut Pro през 2019 г. и че зловредният софтуер е достатъчно умен, за да избегне откриването му от приложението Activity Monitor на macOS. Ако се стартира Activity Monitor, XMRig спира да работи и се стартира отново, когато потребителят излезе от Activity Monitor.
В изявление Apple признава злонамерения софтуер и казва, че е актуализирала Xprotect на macOS, за да блокира „специфичните варианти, цитирани в изследването на JAMF“, и гарантира, че зловредният софтуер „не заобикаля защитите на Gatekeeper“. Apple подсили GateKeeper в macOS Ventura, за да сканира непрекъснато приложенията, за да се увери, че са правилно подписани и не са модифицирани, но предишните версии на macOS извършват само първоначална проверка.
Изтеглянето на пиратското приложение обикновено включва използване на торент клиент и тъй като тези клиенти не прилагат никакви карантинни атрибути, изтеглянията заобикалят проверките за валидиране на macOS Monterey. С macOS Ventura, обаче, пиратското копие на Final Cut Pro няма да премине проверка и няма да се стартира, но нелегитимната инсталация на XMRig все още се случва и фоновото копаене продължава.
Тази атака на злонамерен софтуер е точно причината Apple да иска да пазарувате в App Store, където Apple проверява всяко приложение, за да се увери, че не съдържа злонамерен софтуер. В крайна сметка повече приложения за сигурност на трети страни ще хванат тази атака и ще осигурят защита (Jamf отбелязва, че тази атака е блокирана от услугата Protect Threat Prevention). Най-лесният начин да избегнете тази атака е просто да не използвате пиратски софтуер. Официалната версия на Final Cut Pro струва $300, въпреки че има 90-дневен безплатен пробен период.
Актуализация 16:55 ET: Добавено изявление от Apple.
Източник: www.macworld.com