Группа Threat Labs в Jamf обнаружила новое семейство вредоносных программ для Mac, которые распространяются через пиратские версии Final Cut Pro, Photoshop и других ключевых творческих приложений.
Новая угроза XMRig представляет собой скрытую атаку на майнинг криптовалюты, которая в течение нескольких месяцев оставалась незамеченной.
Содержание статьи
Пиратство — плохая карма, но хорошая крипта
XMRig распространяется, прикрепляясь к пиратским копиям творческих приложений, включая версии Final Cut Pro, Logic Pro X и Adobe Photoshop. Это своего рода «подделка» Mac-приложений, которые вы часто обнаруживаете при распространении через одноранговые сети.
После установки вредоносное ПО тайно добывает криптовалюту с помощью зараженных компьютеров Mac. Вредоносная программа также продумана таким образом, чтобы избежать обнаружения: когда пользователь открывает Activity Monitor, чтобы проверить, не происходит ли что-то неладное на своем Mac, она немедленно прекращает свою деятельность, чтобы его не заметили.
«Рекламное ПО традиционно было самым распространенным типом вредоносных программ для macOS, но криптоджекинг, скрытая и крупномасштабная схема крипто-майнинга, становится все более распространенной», — предупредил Джамф в сегодняшнем обширном отчете, объясняющем атаку.
В этом случае исследователи смогли идентифицировать учетную запись Pirate Bay, которая распространяла файлы. Они обнаружили, что почти каждое пиратское приложение, которым поделился конкретный пользователь, содержало вредоносное ПО для криптомайнинга.
В погоне за деньгами, в погоне за процессорами
Исследователи предполагают, что такие атаки могут стать более распространенными, отчасти из-за успеха Apple в создании вычислительно мощных чипов Apple Silicon. Это может сделать компьютеры Mac еще более привлекательной мишенью для вредоносных программ для майнинга криптовалют. (Безусловно, платформа стала более привлекательной для злоумышленников.)
Стоит отметить, что все известные версии этого семейства вредоносных программ уже обнаружены и заблокированы Jamf Protect, который также информирует администраторов, если Gatekeeper отключен на каких-либо управляемых устройствах.
Что такое XMRig?
XMRig имеет следующие характеристики:
- Вместо Tor он использует протокол связи Invisible Internet Project (i2P) для связи, загрузки вредоносных программ и отправки добытой валюты в кошелек злоумышленника.
- Атаке удалось избежать обнаружения на VirusTotal, несмотря на то, что семейство вредоносных программ было обнаружено.
- Атака также пытается обманом заставить пользователей, загрузивших зараженное вредоносным ПО приложение, полностью отключить защиту Apple Gatekeeper, чтобы запустить приложение.
Jamf Threat Labs удалось отследить три поколения этого конкретного вредоносного ПО, которое впервые появилось примерно в августе 2019 года.
С каждым поколением нападение становилось все труднее обнаружить. К концу этого путешествия злоумышленник стал настолько изощренным, что загрузки появились в Pirate Bay всего через 24 часа после обновления приложений macOS, и ему удалось замаскировать вредоносные процессы под системные процессы.
Культура обвинений, Вентура и дизайн приложений
В этом есть психологический элемент. Сотрудники, чье оборудование заражается из-за того, что они загрузили пиратские приложения на рабочую машину, осознают, что действовали незаконно, и менее склонны предупреждать ИТ-отдел о возможном проникновении вредоносного ПО в систему.
(На самом деле это еще одна веская причина для создания культуры без вины в отношении безопасности, чтобы стимулировать более быстрое обнаружение уязвимостей).
Безопасность — это постоянная битва. В этом случае Apple недавно внесла значительные улучшения в macOS Ventura, которые усложнили жизнь этой вредоносной программе. Более строгие проверки безопасности Ventura подтверждают, что все нотариально заверенные приложения правильно подписаны и не были изменены несанкционированными процессами даже после первого запуска. Это большое улучшение по сравнению с тем, как раньше действовала защита Apple Gatekeeper, когда она проверяла файл только при первом запуске.
Однако Jamf обнаружил, что код майнинга все равно будет выполняться, даже если исходное хост-приложение не будет выполняться. Исследователи обнаружили, что взломанная копия Photoshop осталась незащищенной, предположив, что это произошло из-за разницы в том, как исполняемые файлы в приложении работали при запуске.
Но главное: не используйте программы, украденные из Pirate Bay.
Развивайте лучшие привычки безопасности
Jamf продолжает развиваться, выходя за рамки своих корней MDM, и включает предоставление сверхбезопасных распределенных корпоративных решений, о чем свидетельствует приобретение ZecOps в 2022 году.
Команды компании по защите от угроз продолжают завоевывать прочную репутацию в области обеспечения безопасности на платформах Apple. Но важное открытие почти в каждом отчете об исследовании безопасности, который я читал от разных команд, остается неизменным: человеческая ошибка — основной вектор атаки.
Неважно, фишинговые ли, фрикинговые, хакерские или приманочные атаки — неверные решения конечных пользователей — это угрозы, которые должны не давать ИТ-отделу спать по ночам.
Снова и снова это сводится к простым вещам, таким как напоминание пользователям не нажимать на ссылки, которые они не ожидают получить, никогда не устанавливать пиратское программное обеспечение, всегда использовать сложные коды доступа и никогда не отправлять конфиденциальные логины учетных записей любого рода через общедоступные сети. Wi-Fi.
Простые шаги, подобные этим, оказывают огромное влияние на снижение шансов на успех атак.
Пожалуйста, следуйте за мной на Mastodon или присоединяйтесь ко мне в баре и гриле AppleHolic и Яблоко Обсуждения группы на MeWe.
Авторское право © 2023 IDG Communications, Inc.
