Apple’ın Final Cut Pro video düzenleme yazılımının korsan sürümlerini kullanan kişiler, yazılımı mevcut olduğu birçok yasa dışı torrentten indirdiklerinde umduklarından fazlasını almış olabilirler.
En azından son birkaç aydır, bilinmeyen bir tehdit aktörü, uygulamayı indiren kişilere ait sistemlerde XMRig kripto para madenciliği aracını sunmak için macOS yazılımının korsan bir sürümünü kullandı.
Yakın zamanda operasyonu tespit eden Jamf’ten araştırmacılar, kaç kullanıcının silahlı yazılımı sistemlerine yüklemiş olabileceğini ve şu anda üzerinde XMRig’in çalıştığını belirleyemediler, ancak yazılımın paylaşım düzeyi, bunun yüzlerce olabileceğini gösteriyor.
XMRig için Potansiyel Olarak Geniş Etki
Jamf’te macOS algılama uzmanı olan Jaron Bradley, şirketinin 400’den fazla ekme makinesi veya uygulamanın tamamına sahip olan kullanıcıları tespit ettiğini ve uygulamayı isteyenler için torrent aracılığıyla kullanıma sunduğunu söylüyor. Güvenlik satıcısı, Final Cut Pro’nun silahlı sürümünü torrent paylaşımı için orijinal olarak yükleyen kişinin, aynı cryptominer ile korsan macOS yazılımı yükleme konusunda çok yıllı bir geçmişe sahip biri olduğunu buldu. Tehdit aktörünün daha önce kötü amaçlı yazılımı içine gizlice soktuğu yazılım, Logic Pro ve Adobe Photoshop’un korsan macOS sürümlerini içerir.
“Nispeten yüksek sayıda mibzer göz önüne alındığında ve [the fact] Kötü amaçlı yazılım yazarının kötü amaçlı yazılımı üç buçuk yıl boyunca sürekli olarak güncellemek ve yüklemek için yeterince motive olduğunu düşünürsek, oldukça geniş bir erişime sahip olduğundan şüpheleniyoruz” diyor Bradley.
Jamf, keşfettiği zehirli Final Cut Pro örneğini, VirusTotal’daki kötü amaçlı yazılım tarayıcıları için neredeyse görünmez hale getiren şaşırtma özelliklerine sahip önceki kötü amaçlı yazılım örneklerinin yeni ve geliştirilmiş bir sürümü olarak tanımladı. Kötü amaçlı yazılımın temel özelliklerinden biri, iletişim için Görünmez İnternet Projesi (i2p) protokolünü kullanmasıdır. I2p, kullanıcılara The Onion Router (Tor) ağı tarafından sunulana benzer bir anonimlik sunan özel bir ağ katmanıdır. Tüm i2p trafiği ağ içinde bulunur, yani doğrudan İnternet’e dokunmaz.
Bradley, “Kötü amaçlı yazılımın yazarı, i2p ağı dışında herhangi bir yerde bulunan bir web sitesine asla ulaşmaz” diyor. “Tüm saldırgan araçları anonim i2p ağı üzerinden indirilir ve çıkarılan para birimi de i2p üzerinden saldırganların cüzdanına gönderilir.”
Jamf’in keşfettiği Final Cut Pro’nun korsan sürümüyle, tehdit aktörü ana ikili dosyayı değiştirmişti, böylece bir kullanıcı uygulama paketini çift tıkladığında ana yürütülebilir dosya bir kötü amaçlı yazılım damlatıcısı oluyordu. Bradley, damlalığın arka planda kripto madencisi başlatmak ve ardından korsan uygulamayı kullanıcıya göstermek dahil olmak üzere sistemdeki diğer tüm kötü niyetli etkinlikleri gerçekleştirmekten sorumlu olduğunu söylüyor.
Sürekli Kötü Amaçlı Yazılım Gelişimi
Belirtildiği gibi, kötü amaçlı yazılımın en son sürümü ile önceki sürümleri arasındaki en dikkate değer farklardan biri, artan gizliliğidir. — ama bu bir kalıp oldu.
2019’da korsan macOS yazılımına dahil edilen en eski sürüm, kullanıcı bilgisayar başında olsun ya da olmasın her zaman en az gizli ve madencilik yapılan kripto para birimiydi. Bu, fark edilmesini kolaylaştırdı. Kötü amaçlı yazılımın daha sonraki bir yinelemesi daha sinsi hale geldi; yalnızca kullanıcı korsan bir yazılım programı açtığında kripto para birimi madenciliğine başlardı.
“Bu, kullanıcıların kötü amaçlı yazılımın etkinliğini algılamasını zorlaştırdı, ancak kullanıcı oturumu kapatana veya bilgisayarı yeniden başlatana kadar madenciliği sürdürecekti. Ek olarak, yazarlar, kötü amaçlı yazılımla ilişkili şüpheli kod dizilerini gizlemek için temel 64 kodlaması adı verilen bir teknik kullanmaya başladılar. , virüsten koruma programlarının algılamasını zorlaştırıyor,” diyor Bradley.
Dark Reading’e, en son sürümde, kötü amaçlı yazılımın işlem adını sistem işlemleriyle aynı görünecek şekilde değiştirdiğini söyler. “Bu, kullanıcının bir komut satırı aracı kullanarak bir işlem listesini görüntülerken kötü amaçlı işlemleri yerel olanlardan ayırt etmesini zorlaştırıyor.
Kötü amaçlı yazılımın farklı sürümlerinde tutarlı kalan bir özellik, “Activity Monitor” uygulamasını sürekli olarak izlemesidir. Kullanıcılar, bilgisayarlarıyla ilgili sorunları gidermek için genellikle uygulamayı açabilir ve bunu yaparken kötü amaçlı yazılımı tespit edebilir. Bu nedenle, “kötü amaçlı yazılım, kullanıcının Activity Monitor’ü açtığını algıladığında, algılanmamak için tüm işlemlerini hemen durdurur.”
Kötü amaçlı yazılımları korsan macOS uygulamalarına paketleyen tehdit aktörlerinin örneği nadirdi ve çok uzaktı. Aslında, böyle bir operasyonun bilinen son örneklerinden biri, Temmuz 2020’de Malwarebytes araştırmacılarının, bir macOS fidye yazılımı varyantı için bir indirici içeren Little Snitch güvenlik duvarı uygulamasının korsan bir sürümünü keşfettiği zamandı.