一个高度隐蔽的恶意挖矿程序正在MacOS盗版社区中广泛传播

Jamf Threat Labs 研究人员报告称，发现一种针对macOS的恶意挖矿程序以Apple开发的视频编辑软件Final Cut Pro为幌子进行传播。 

合法应用程序的被感染后用于在macOS系统上部署 XMRig 加密货币挖矿程序。

“进一步调查显示，被感染的Final Cut Pro包含一个未经Apple授权的修改，这个修改会在后台执行XMRig。”

目前，专家分析的样本并未被VirusTotal上的任何安全供应商标记为恶意样本。

该恶意软件依赖于i2p（隐形互联网项目）匿名网络进行通信。恶意代码使用 i2p 下载恶意组件并将挖掘的数字货币发送到攻击者的钱包。

研究人员注意到与Trend Micro在 2022年2月报告的其他示例的相似之处。但是，Jamf威胁实验室指出，仍然存在差异和未解决的问题，例如为什么他们发现的样本如此难以被发现。

“我们下载了最新种子文件，并检查了应用程序可执行文件的哈希值。它与我们在野外发现的受感染Final Cut Pro的哈希匹配。我们现在有了答案。” 研究人员表示，“我们观察到该torrent是由一位拥有多年上传盗版macOS软件torrents记录的用户上传的，其中许多都是共享最广泛的版本”

Jamf的报告显示，受感染的应用程序至少从2019年开始就通过Pirate Bay进行分发。

自 2019 年 8 月以来，专家们确定了三代恶意软件，Jamf已经能够识别通过盗版应用程序分发的各种恶意软件样本，确定它们何时出现在Torrent社区、何时开始提交给VirusTotal 以及安全供应商何时开始检测恶意软件。这使网络安全公司能够了解恶意软件的演变以及作者为避免检测而使用的策略和技术。

第一代样本使用AuthorizationExecuteWithPrivileges API来获得提升的权限并安装Launch Daemon以获得持久性。后来的一代样本更改为用户Launch Agent，不需要显眼的密码提示。第三代样本开始依赖用户启动应用程序包来启动挖掘过程，而不是获得持久性。

该恶意软件的最新变种使用base64编码藏在应用程序可执行文件中。

该报告指出，尽管最新的 macOS 版本Ventura引入了安全改进，但仍然可以在受感染的系统上执行加密货币恶意程序。

“另一方面，macOS Ventura并没有阻止恶意程序的执行。当用户收到错误消息时，该恶意软件已经安装。” 总体来说。“它确实阻止了修改版Final Cut Pro的启动，这可能会引起用户的怀疑，并大大降低用户后续启动的可能性。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4392.html