Meşru uygulamaların Truva atına bulaştırılmış sürümleri, macOS sistemlerinde kaçamak kripto para madenciliği kötü amaçlı yazılımlarını dağıtmak için kullanılıyor.
Keşfi yapan Jamf Threat Labs, XMRig madeni para madencisinin Apple’ın yetkisiz bir değişiklik içeren bir video düzenleme yazılımı olan Final Cut Pro olarak yürütüldüğünü söyledi.
“Bu kötü amaçlı yazılım, Görünmez İnternet Projesi’ni (i2p) kullanıyor […] Jamf araştırmacıları Matt Benyo, Ferdous Saljooki ve Jaron Bradley, kötü amaçlı bileşenleri indirmek ve saldırganın cüzdanına mayınlı para göndermek için” dedi. söz konusu The Hacker News ile paylaşılan bir raporda.
Kampanyanın önceki bir yinelemesi şuydu: belgelenmiş Kötü amaçlı yazılımın ağ trafiğini gizlemek için i2p kullandığına işaret eden ve bunun Adobe Photoshop CC 2019 için bir DMG dosyası olarak teslim edilmiş olabileceğine dair spekülasyon yapan Trend Micro tarafından tam olarak bir yıl önce.
Apple cihaz yönetimi şirketi, cryptojacking uygulamalarının kaynağının, en eski yüklemelerin 2019 yılına kadar uzanan Pirate Bay’e kadar izlenebileceğini söyledi.
Sonuç olarak, ilk olarak Ağustos 2019, Nisan 2021 ve Ekim 2021’de gözlemlenen ve kampanyanın karmaşıklığının ve gizliliğinin gelişimini gösteren üç nesil kötü amaçlı yazılımın keşfedilmesi oldu.
Kaçınma tekniğinin bir örneği, var olup olmadığını kontrol etmek için çalışan işlemlerin listesini izleyen bir kabuk betiğidir. Etkinlik Monitörüve öyleyse, madencilik işlemlerini sonlandırın.
Kötü amaçlı madencilik süreci, yürütülebilir dosyaya gömülü kodun XMRig bileşenini indirmek için i2p üzerinden aktör kontrollü bir sunucuya bağlandığı korsan uygulamayı başlatan kullanıcıya bağlıdır.
Kötü amaçlı yazılımın gözden kaçma yeteneği, crackli yazılım çalıştıran kullanıcıların isteyerek yasa dışı bir şey yapmaları gerçeğiyle birleştiğinde, dağıtım vektörünü yıllarca oldukça etkili hale getirdi.
Ancak Apple, noter tasdikli uygulamaları macOS Ventura’da daha katı Gatekeeper kontrollerine tabi tutarak ve böylece kurcalanmış uygulamaların başlatılmasını önleyerek bu tür kötüye kullanımla mücadele etmek için adımlar attı.
Jamf araştırmacıları, “Öte yandan, macOS Ventura madencinin çalışmasını engellemedi” dedi. “Kullanıcı hata mesajını aldığında, bu kötü amaçlı yazılım zaten yüklenmiştir.”
“Final Cut Pro’nun değiştirilmiş sürümünün başlatılmasını engelledi, bu da kullanıcı için şüphe uyandırabilir ve kullanıcı tarafından sonraki başlatma olasılığını büyük ölçüde azaltabilir.”