Güvenlik araştırmacıları, Final Cut Pro’nun kötü niyetli bir sürümüyle macOS’u hedefleyen ve büyük ölçüde antivirüs motorları tarafından fark edilmeyen bir kripto madenciliği operasyonu keşfetti.
Kötü amaçlı varyantın torrent üzerinden dağıtıldığını ve Monero kripto para birimi için madencilik yapan XMRig yardımcı programını çalıştırdığını buldular.
Bir macOS tehdidinin gelişimi
Jamf Threat Labs ekibi bu özel macOS tehdidini buldu ve adlı bir kullanıcı tarafından The Pirate Bay üzerinden paylaşılan kötü amaçlı torrentlere kadar izini sürdü. wtfisthat34698409672.
Görünüşe göre kullanıcı, 2019’dan beri Adobe Photoshop ve Logic Pro X gibi diğer macOS uygulamalarını yüklüyor ve bunların tümü kripto para birimi madenciliği için bir yük içeriyor.
Daha derin analiz, araştırmacıları, kötü amaçlı yazılımın her seferinde daha karmaşık kaçırma teknikleri ekleyen üç ana geliştirme aşamasından geçtiği sonucuna götürdü.
Özellikle, güvenlik araçları bugün tutarlı bir şekilde yalnızca, Nisan 2021’de dolaşımı durdurulan tehdidin ilk neslini tespit ediyor.
İlk nesilden itibaren kötü amaçlı yazılım, trafiği anonimleştirmek için komuta ve kontrol (C2) iletişimleri için bir i2p (Görünmez İnternet Projesi) ağ katmanı kullandı. Bu özellik, kötü amaçlı yazılımın tüm sürümlerinde devam eder.
Kötü amaçlı yazılımın ikinci nesli, Nisan 2021 ile Ekim 2021 arasında nispeten kısa bir süre ortaya çıktı ve uygulama paketinde gizlenmiş yürütülebilir dosyalar için 64 tabanlı kodlamaya sahipti.
Üçüncü ve mevcut nesil, Ekim 2021’de ortaya çıktı. Mayıs 2022’den itibaren, vahşi ortamda dağıtılan tek varyant oldu. Bu varyantın yeni bir özelliği, tespit edilmekten kaçınmak için Spotlight’taki sistem işlemleri gibi kötü niyetli işlemlerini gizleyebilmesidir.
Ayrıca, en son sürüm, Activity Monitor’ü sürekli olarak kontrol eden bir komut dosyası içerir ve başlatılırsa, kullanıcının incelemelerinden gizli kalmak için tüm işlemlerini anında sonlandırır.
Ventura ve önünüzdeki yol
Kod adı “Ventura” olan macOS’in en son sürümü, kötü amaçlı yazılımların kullanıcı tarafından başlatılan uygulamaların, özellikle korsan uygulamaların içinden gizlenmesini ve başlatılmasını etkisiz kılmakla tehdit eden daha katı kod imzalama denetimleri sunuyor.
Bu durumda, korsanlar Final Cut Pro’yu yalnızca kısmen değiştirerek orijinal kod imzalama sertifikasını olduğu gibi korudu. Ancak Ventura, yazılım içeriğinde bir değişiklik tespit ettiği için yine de geçersiz kıldı.
Ancak bu, kripto para madencisi değil, yalnızca yasal uygulamanın çalışmasını engelledi, bu nedenle Apple’ın yeni güvenlik sisteminin kullanıcıyı etkili bir şekilde korumak için hala kat etmesi gereken bir yol var.
Sonuç olarak, eşler arası ağlardan korsan yazılım indirmekten kaçınmanız önerilir, çünkü bu ağlar neredeyse her zaman kötü amaçlı yazılım veya reklam yazılımları ile doludur.