Araştırmacılar, kötü amaçlı yazılım dağıtmak ve kripto madenciliği operasyonları başlatmak için macOS uygulamalarını kullanan başka bir kampanyayı daha ortaya çıkardı.
Yeni bir kripto madenciliği kampanyası, macOS ürünlerinde çalışan ve açık kaynaklı XMRig kripto madenciliği yazılımını ve Görünmez İnternet Protokolü (I2P) ağ araçlarını dağıtmak için kötü amaçlı uygulama paketleri kullanan uygulamaları hedefliyor.
Kampanyanın ilk göstergesi, genel bir kötü amaçlı yazılım deposundaki şüpheli çok mimarili ikili dosyalardı. Ayrıntılı analiz, bu kampanyanın ilk olarak 2021 yazında kullanılan teknikleri kullandığını ortaya çıkardı. araştırmacılara göre Crowdstrike’ta.
Raporda, tespit edilen uygulamaların Apple Logic Pro X, Final Cut Pro, Traktor ve Adobe Creative Suite ürünleri gibi meşru yazılımlar olduğu ve bunların birincil yürütülebilir dosyasının, I2P araçlarını ve uygulamanın orijinal sürümünü içeren bir damlalık olduğu belirtildi.
Mac’te XMRig, yeni ve geliştirilmiş
Damlalık, özel bir XMRig madencisini indirmek ve madencilik operasyonlarını koordine etmek için I2P’yi kullandı. Mac’lerde XMRig yeni değil. Ancak, I2P ve XMRig kullanan önceki tehditlerin aksine, bu kampanya araçlarını dağıtmak için meşru bir uygulama ve komut dosyaları kullandı.
“Araştırma, genel bir kötü amaçlı yazılım deposundaki şüpheli çoklu mimari ikili dosyalarını belirledikten sonra başladı. Yaygın örneklerin analizi, bu kampanyadaki tekniklerin 2021 yazına kadar uzandığını gösteriyor” denildi.
Kötü amaçlı yazılım kampanyası, kurbanı meşru bir uygulama yüklediklerine inandıran bir damlalık kullanır.
“Damlalık, Logic Pro X’in çalışan bir kopyası olarak görünmesi için yem uygulamasının meşru bir kopyasını içeriyor. Damlalık, meşru Mach-O dosyasının kodunu çözmek için bir komut dosyası oluşturarak başlar. Raporda, bu işlem sırasında büyük bir Base64 kodlu dosyanın diske yazıldığı belirtildi.
Mac, kötü amaçlı yazılım ve yükleme
Kötü amaçlı yazılım muhtemelen Apple Disk Görüntüleri (DMG’ler) aracılığıyla dağıtılıyor ve damlalık ikili dosyası, hem x86_64 hem de ARM mimarilerini destekleyen evrensel bir Mach-O. Yüklü uygulama paketinde bulunur ve uygulama paketi başlatıldığında yürütülür.
Damlalık, /tmp/ dizininde birden çok rasgele adlandırılmış dosya ve klasör oluşturur ve bu oluşturulan değerlerle komut dosyası içeriğini dinamik olarak üretir.
Damlalık, meşru Mach-O dosyasının kodunu çözmek ve ana bilgisayarın /tmp/ dizininde ikizlenmiş bir uygulama paketi oluşturmak için bir komut dosyası oluşturur. Yansıtılmış paket, damlalık ikili dosyası yerine orijinal uygulamayı içerir.
Damlalık daha sonra meşru uygulamayı başlatmak için çatallanırken, orijinal damlalık süreci madencilik operasyonlarını düzenlemek için yürütmeye devam eder. I2P ağ araçlarını yapılandırmak ve XMRig madenciliği yazılımını indirmek için iki ek komut dosyası kullanılır.
Damlalık, anonim ve uçtan uca şifreli iletişim için I2P kullanmak üzere açık kaynaklı i2pd (I2P Daemon) projesinden özelleştirilmiş bir Mach-O indirir.
XMRig ve macOS
Bu, ne Mac’teki ilk XMRig örneği ne de korsan yazılım uygulamaları aracılığıyla Mac’lere yerleştirilen kötü amaçlı kripto madenciliğinin ilk örneği. Son zamanlarda, güvenlik firması Jamf saptanmış Apple’ın Final Cut Pro video düzenleme yazılımı kılığına girmiş bir XMRig uygulaması.
“Doğal ortamda tehdit tespitlerimizin rutin olarak izlenmesi sırasında, bir komut satırı kripto madenciliği aracı olan XMRig kullanımını gösteren bir uyarıyla karşılaştık. XMRig yaygın olarak meşru amaçlar için kullanılsa da, uyarlanabilir, açık kaynaklı tasarımı, onu kötü niyetli aktörler için de popüler bir seçim haline getirdi,” dedi Jamf analiz raporu.
“Bu özel örnek, Apple tarafından geliştirilen video düzenleme yazılımı Final Cut Pro kisvesi altında yürütüldüğü için ilgimizi çekti. Ayrıntılı araştırma, Final Cut Pro’nun bu kötü amaçlı sürümünün, arka planda XMRig çalıştıran Apple tarafından yetkilendirilmemiş bir değişiklik içerdiğini ortaya çıkardı.”
Madeni para madencileri ve macOS
Bir yetkili, “Coinminers, kötü niyetli aktörler için daha karlı kötü amaçlı yazılım türlerinden biridir ve bir kurbanın cihazına yüklendikten sonra çok az bakım gerektirir” dedi. Trend Micro raporuOcak 2022’nin başlarında elde edilen bir madeni para madenci örneğini analiz eden.
i2p ağına yayılan bu benzersiz kötü amaçlı yazılım, madeni para madenciliği faaliyetlerini gerçekleştirmek için açık kaynaklı ikili dosyaları kullanır. Kötü amaçlı yazılımın, geleneksel antivirüs yazılımları tarafından tespit edilmekten kaçabildiği ve ayrıca iletişim için yüksek oranda şifrelenmiş bir ağ kullandığı ve bu da izlenmesini zorlaştırdığı bulundu.
Bu Mac madeni para madencisinin, HiddenLotus olarak bilinen daha eski bir kötü amaçlı yazılım türünün gelişmiş sürümü olduğu ortaya çıktı. Bu kötü amaçlı yazılım da, virüslü makinelerde kripto para madenciliği yapmak için XMRig ve zcashd gibi açık kaynaklı ikili dosyalar kullanır.