Meşru uygulamaların Truva atına bulaştırılmış sürümleri, macOS sistemlerinde kaçamak kripto para madenciliği kötü amaçlı yazılımlarını dağıtmak için kullanılıyor.
Keşfi yapan Jamf Threat Labs, XMRig madeni para madencisinin Apple’ın yetkisiz bir değişiklik içeren bir video düzenleme yazılımı olan Final Cut Pro olarak yürütüldüğünü söyledi.
“Bu kötü amaçlı yazılım, Görünmez İnternet Projesi’ni (i2p) kullanıyor […] Jamf araştırmacıları Matt Benyo, Ferdous Saljooki ve Jaron Bradley, The Hacker News ile paylaşılan bir raporda, kötü amaçlı bileşenleri indirmek ve çıkarılan parayı saldırganın cüzdanına göndermek için” dedi.
Kampanyanın daha önceki bir yinelemesi, tam olarak bir yıl önce Trend Micro tarafından belgelendi; bu, kötü amaçlı yazılımın ağ trafiğini gizlemek için i2p kullandığına işaret etti ve bunun Adobe Photoshop CC 2019 için bir DMG dosyası olarak teslim edilmiş olabileceği yönünde spekülasyon yaptı.
Apple cihaz yönetimi şirketi, cryptojacking uygulamalarının kaynağının, en eski yüklemelerin 2019 yılına kadar uzanan Pirate Bay’e kadar izlenebileceğini söyledi.
Sonuç olarak, ilk olarak Ağustos 2019, Nisan 2021 ve Ekim 2021’de gözlemlenen ve kampanyanın karmaşıklığının ve gizliliğinin gelişimini gösteren üç nesil kötü amaçlı yazılımın keşfedilmesi oldu.
Kaçınma tekniğine bir örnek, Activity Monitor’ün varlığını kontrol etmek için çalışan işlemlerin listesini izleyen ve varsa madencilik işlemlerini sonlandıran bir kabuk komut dosyasıdır.
Kötü amaçlı madencilik süreci, yürütülebilir dosyaya gömülü kodun XMRig bileşenini indirmek için i2p üzerinden aktör kontrollü bir sunucuya bağlandığı korsan uygulamayı başlatan kullanıcıya bağlıdır.
Kötü amaçlı yazılımın gözden kaçma yeteneği, crackli yazılım çalıştıran kullanıcıların isteyerek yasa dışı bir şey yapmaları gerçeğiyle birleştiğinde, dağıtım vektörünü yıllarca oldukça etkili hale getirdi.
Ancak Apple, noter tasdikli uygulamaları macOS Ventura’da daha katı Gatekeeper kontrollerine tabi tutarak ve böylece kurcalanmış uygulamaların başlatılmasını önleyerek bu tür kötüye kullanımla mücadele etmek için adımlar attı.
Jamf araştırmacıları, “Öte yandan, macOS Ventura madencinin çalışmasını engellemedi” dedi. “Kullanıcı hata mesajını aldığında, bu kötü amaçlı yazılım zaten yüklenmiştir.”
“Final Cut Pro’nun değiştirilmiş sürümünün başlatılmasını engelledi, bu da kullanıcı için şüphe uyandırabilir ve kullanıcı tarafından sonraki başlatma olasılığını büyük ölçüde azaltabilir.”