Final Cut Pro, Photoshop ve diğer önemli yaratıcı uygulamaların korsan sürümleri aracılığıyla yayılan yeni bir Mac kötü amaçlı yazılım ailesi, tarafından tespit edildi. Jamf’te Tehdit Laboratuvarları ekibi.
Yeni XMRig tehdidi, aylarca tespit edilmekten kaçan incelikli bir kripto para madenciliği saldırısıdır.
Korsanlık kötü karma ama iyi kripto
XMRig, kendisini Final Cut Pro, Logic Pro X ve Adobe Photoshop sürümleri dahil olmak üzere yaratıcı uygulamaların korsan kopyalarına ekleyerek çoğalır. Bu, eşler arası ağlar arasında dağıtıldığını sık sık gördüğünüz “sahte” Mac uygulaması türüdür.
Kötü amaçlı yazılım yüklendikten sonra, virüslü Mac’leri kullanarak gizlice kripto para madenciliği yapıyor. Kötü amaçlı yazılım ayrıca tespit edilmekten kaçınmak için akıllıca tasarlanmıştır – bir kullanıcı Mac’inde bir sorun olup olmadığını görmek için Activity Monitor’ü açtığında, tespit edilmemek için etkinliği hemen durdurur.
Jamf, bugün saldırıyı açıklayan kapsamlı bir raporda, “Reklam yazılımları geleneksel olarak en yaygın macOS kötü amaçlı yazılım türü olmuştur, ancak gizli ve büyük ölçekli bir kripto madenciliği planı olan cryptojacking giderek daha yaygın hale geliyor” uyarısında bulundu.
Bu durumda, araştırmacılar dosyaları dağıtan Pirate Bay hesabını tespit edebildiler. Belirli bir kullanıcı tarafından paylaşılan hemen hemen her korsan uygulamanın kripto madenciliği amaçlı kötü amaçlı yazılım barındırdığını buldular.
Paranın peşinde, işlemcilerin peşinde
Araştırmacılar, kısmen Apple’ın hesaplama açısından güçlü Apple Silicon çipleri yaratmadaki başarısı nedeniyle bu tür saldırıların daha yaygın hale gelebileceğini düşünüyor. Bu, Mac’leri kripto madenciliği kötü amaçlı yazılımları için daha da çekici bir hedef haline getirebilir. (Kesinlikle, platform Saldırganlar için daha çekici hale gelir.)
Bu kötü amaçlı yazılım ailesinin bilinen tüm sürümlerinin, Gatekeeper’ın herhangi bir yönetilen cihazda devre dışı bırakılıp bırakılmadığını yöneticilere bildiren Jamf Protect tarafından zaten algılanıp engellendiğini belirtmekte fayda var.
XMRig nedir?
XMRig aşağıdaki özelliklere sahiptir:
- Tor yerine, iletişim kurmak, kötü amaçlı yazılım indirmek ve çıkarılan para birimini saldırganın cüzdanına göndermek için Görünmez İnternet Projesi (i2P) iletişim protokolünü kullanır.
- Kötü amaçlı yazılım ailesi tespit edilmiş olmasına rağmen, saldırı VirusTotal’da tespit edilmekten kurtulmayı başardı.
- Saldırı ayrıca, kötü amaçlı yazılım bulaşmış bir uygulama indiren kullanıcıları kandırarak, uygulamanın çalışmasını sağlamak için Apple’ın Gatekeeper korumasını tamamen devre dışı bırakmaya çalışır.
Jamf Threat Labs, ilk olarak Ağustos 2019 civarında ortaya çıkan bu kötü amaçlı yazılımın üç neslinin izini sürmeyi başardı.
Her nesil, saldırıyı fark etmenin zorlaştığını gördü. Bu yolculuğun sonunda saldırgan, yüklemelerin Pirate Bay’de macOS uygulama güncellemelerinden yalnızca 24 saniye sonra ortaya çıkmasına ve kötü amaçlı işlemleri sistem işlemleri olarak gizlemeyi başarmasına yetecek kadar bilgili hale geldi.
Suçlama kültürü, Ventura ve uygulama tasarımı
Bunun psikolojik bir unsuru var. Bir iş makinesine korsan uygulamalar indirdikleri için donanımına virüs bulaşan çalışanlar, yasa dışı hareket ettiklerinin farkındadırlar ve kötü amaçlı yazılımların sisteme girmiş olabileceği konusunda BT’yi uyarmaya daha az eğilimlidirler.
(Aslında bu, güvenlik açıklarının daha hızlı açığa çıkmasını teşvik etmek için güvenlik etrafında suçsuz bir kültürü teşvik etmek için başka bir iyi nedendir).
Güvenlik sürekli bir savaştır. Bu durumda, Apple son zamanlarda macOS Ventura’da bu kötü amaçlı yazılım için hayatı zorlaştıran önemli iyileştirmeler yaptı. Ventura’nın daha sıkı güvenlik kontrolleri, tüm noter tasdikli uygulamaların doğru şekilde imzalandığını ve ilk lansmandan sonra bile yetkisiz işlemler tarafından değiştirilmediğini onaylar. Bu, Apple’ın Gatekeeper korumasının bir dosyayı yalnızca ilk çalıştırmada kontrol ettiğinde nasıl davrandığına dair büyük bir gelişme.
Ancak Jamf, orijinal ana bilgisayar uygulaması çalışmasa bile madencilik kodunun yürütüleceğini buldu. Araştırmacılar, saldırıya uğramış Photoshop kopyasının korumasız kaldığını tespit etti ve bunun, uygulamadaki yürütülebilir dosyaların başlatma sırasında çalışma biçimindeki bir farklılıktan kaynaklandığını tahmin etti.
Ama sonuç olarak: Pirate Bay’den çalınan yazılımları kullanmayın.
Daha iyi güvenlik alışkanlıkları geliştirin
Jamf, 2022’de ZecOps’u satın almasıyla kanıtlandığı gibi, ultra güvenli dağıtılmış kurumsal çözümlerin sağlanmasını kapsayacak şekilde MDM köklerinin ötesinde gelişmeye devam ediyor.
Şirketin Tehdit Güvenliği ekipleri, güçlü bir itibar oluşturmak Apple platformlarında güvenlik gözetimi için. Ancak çeşitli ekiplerden okuduğum hemen hemen her güvenlik araştırması raporundaki büyük açıklama aynı kalıyor: İnsan hatası, nihai saldırı vektörüdür.
Kimlik avı, phreaking, bilgisayar korsanlığı veya bal küpü saldırıları fark etmez – son kullanıcıların yanlış kararları BT’yi geceleri uyanık tutması gereken tehditlerdir.
Kullanıcılara almayı beklemedikleri bağlantılara tıklamamalarını, asla korsan yazılım yüklememelerini, her zaman karmaşık şifreler kullanmalarını ve hiçbir türden gizli hesap oturum açma bilgilerini asla herkese açık yerlerde göndermemelerini hatırlatmak gibi basit şeylere tekrar tekrar değinilir. Wifi.
Bunun gibi basit adımların, saldırıların başarılı olma şansını azaltmada büyük etkisi vardır.
lütfen beni takip et Mastodonveya bana katılın AppleHolic’in barı ve ızgarası Ve Elma Tartışmalar MeWe’deki gruplar.
Telif hakkı © 2023 IDG Communications, Inc.