Marek Bezdíček 
Nový malware cílí na macOS
AppleInsider může získat přidruženou provizi za nákupy uskutečněné prostřednictvím odkazů na našich stránkách.
Vyšetřování odhalilo nový vyhýbavý crypto-jacking malware na macOS distribuovaný prostřednictvím pirátských verzí Final Cut Pro.
Laboratoř Jamf Threat Labs strávila posledních několik měsíců sledováním rodiny malwaru, který se nedávno znovu objevil. V bezpečnostní komunitě je známá starší verze, ale nová iterace nebyla příliš odhalena.
Během rutinního monitorování obdržel Jamf upozornění na používání XMRig, nástroje příkazového řádku pro těžbu kryptoměn. Ačkoli je XMRig často používán pro dobro, jeho přizpůsobitelná open-source povaha z něj také udělala oblíbenou volbu pro špatné herce.
Tým zjistil, že se malware skrývá v pirátských verzích Final Cut Pro, softwaru pro úpravu videa od Applu. Tato škodlivá verze Final Cut Pro spouštěla na pozadí XMRig.
Vestavěný skript malwaru. Zdroj: Jamf Labs
Ke komunikaci využívá Invisible Internet Project (i2p), vrstvu privátní sítě, která dokáže anonymizovat provoz. Malware jej využívá ke stahování škodlivých komponent a odesílání vytěžené měny do peněženky útočníka.
Jamf prohledal The Pirate Bay, slavné úložiště pirátské hudby, filmů, softwaru a dalších kategorií souborů. Stáhli nejnovější torrent s nejvyšším počtem Seederů a zjistili, že obsahuje malware.
Zdrojem malwaru a zdrojem dříve nahlášených vzorků byl uživatel, který video nahrál. Téměř všechna četná nahrávání, která začala v roce 2019, byla infikována škodlivým nákladem za účelem skryté těžby kryptoměny.
Poté, co uživatel nainstaluje infikovanou aplikaci Final Cut Pro, okamžitě začne proces stahování a nastavení malwaru a komponent příkazového řádku XMRig. Maskuje těžbu jako proces „mdworker_local“.
Zůstat chráněn
Výzkumníci poznamenávají, že macOS Ventura může blokovat spuštění škodlivé aplikace. Je to způsobeno tím, že malware ponechal původní podepisování kódu nedotčené, ale upravil aplikaci, čímž selhala bezpečnostní politika systému.
Gatekeeper blokuje aplikaci
MacOS Ventura však nebrání těžaři ve spuštění. Takže v době, kdy uživatel obdrží chybovou zprávu, že Final Cut Pro je poškozen a nelze jej otevřít, malware již byl nainstalován.
Tým našel chybovou zprávu pouze u pirátských verzí Logic Pro a Final Cut Pro. Pirátská verze Photoshopu však úspěšně spustila škodlivé a fungující součásti na macOS Ventura 13.2 a dřívějších.
Nejviditelnějším způsobem, jak se vyhnout malwaru, je nestahovat pirátský software. Final Cut Pro je drahý za 299,99 $, ale iMovie a DaVinci Resolve jsou obě bezplatné možnosti.
Obrázek VirusTotal zobrazující škodlivý binární soubor s 0 detekcemi od jiných dodavatelů. Pořízeno Jamf Threat Labs 10. února 2023
V době objevu Jamf zjistil, že vzorek malwaru nebyl detekován jako škodlivý žádnými dodavateli zabezpečení na webu VirusTotal, který dokáže detekovat malware. Od ledna 2023 se zdálo, že několik nejmenovaných prodejců začalo detekovat malware, nicméně některé škodlivě pozměněné programy zůstávají neodhaleny.
Uživatelé se proto možná nebudou moci spolehnout na svůj antimalwarový software při detekci infekce – alespoň prozatím.
Zdroj: appleinsider.com
