Se están utilizando versiones troyanizadas de aplicaciones legítimas para implementar malware evasivo de minería de criptomonedas en sistemas macOS.
Jamf Threat Labs, que hizo el descubrimiento, dijo que el minero de monedas XMRig se ejecutó como Final Cut Pro, un software de edición de video de Apple, que contenía una modificación no autorizada.
«Este malware hace uso del Invisible Internet Project (i2p) […] para descargar componentes maliciosos y enviar moneda extraída a la billetera del atacante», los investigadores de Jamf Matt Benyo, Ferdous Saljooki y Jaron Bradley dicho en un informe compartido con The Hacker News.
Una iteración anterior de la campaña fue documentado hace exactamente un año por Trend Micro, que señaló el uso de i2p por parte del malware para ocultar el tráfico de la red y especuló que podría haberse entregado como un archivo DMG para Adobe Photoshop CC 2019.
La compañía de administración de dispositivos Apple dijo que la fuente de las aplicaciones de criptosecuestro se puede rastrear hasta Pirate Bay, y las primeras cargas datan de 2019.
El resultado es el descubrimiento de tres generaciones del malware, observadas primero en agosto de 2019, abril de 2021 y octubre de 2021, que traza la evolución de la sofisticación y el sigilo de la campaña.
Un ejemplo de la técnica de evasión es un script de shell que monitorea la lista de procesos en ejecución para verificar la presencia de Monitor de actividady de ser así, dar por terminados los procesos de minado.
El proceso de minería malicioso se basa en que el usuario inicie la aplicación pirateada, sobre la cual el código incrustado en el ejecutable se conecta a un servidor controlado por el actor a través de i2p para descargar el componente XMRig.
La capacidad del malware para pasar desapercibido, junto con el hecho de que los usuarios que ejecutan software descifrado están voluntariamente haciendo algo ilegal, ha hecho que el vector de distribución sea muy eficaz durante muchos años.
Apple, sin embargo, ha tomado medidas para combatir ese abuso al someter las aplicaciones notariadas a verificaciones más estrictas de Gatekeeper en macOS Ventura, evitando así que se inicien aplicaciones manipuladas.
«Por otro lado, macOS Ventura no impidió que el minero se ejecutara», señalaron los investigadores de Jamf. «Para cuando el usuario recibe el mensaje de error, ese malware ya se ha instalado».
«Evitó que se iniciara la versión modificada de Final Cut Pro, lo que podría generar sospechas para el usuario y reducir en gran medida la probabilidad de que el usuario inicie posteriormente».