Jamf Threat Labs в четверг опубликовала отчет о новой угрозе вредоносного ПО для macOS, которое устанавливает и запускает программное обеспечение для майнинга криптовалют. Вредоносная программа прикрепляется к пиратским копиям Final Cut Pro, загружаемым с неавторизованных точек распространения в Интернете.
К пиратским версиям Final Cut Pro прилагается инструмент для майнинга криптовалют под названием XMRig. Когда программное обеспечение загружено и установлено, XMRig запускается в фоновом режиме. Jamf сообщает, что по состоянию на январь лишь «несколько» приложений для защиты от вредоносных программ могут обнаружить скрытую установку XMRig.
Сам XMRig часто используется крипто-майнерами на законных основаниях, но, поскольку это утилита с открытым исходным кодом, она часто подвергается незаконному использованию, подобному этому. Когда XMRig работает в фоновом режиме, Mac выделяет вычислительные ресурсы для задач майнинга, что влияет на производительность.
Джамф сказал, что эта установка вредоносного ПО использует i2p для отправки добытой криптовалюты в кошелек злоумышленника и для загрузки компонентов вредоносного программного обеспечения на Mac. Сетевой протокол i2p предназначен для конфиденциальности; он зашифрован и использует туннель, используемый только пользователем, сервером и любыми другими пользователями, получившими доступ. Как и XMRig, i2p имеет законное применение, но при использовании вредоносным ПО затрудняет отслеживание сетевой активности.
Исследование Jamf показало, что источник вредоносного ПО начал загружать пиратские версии Final Cut Pro в 2019 году и что вредоносное ПО достаточно умно, чтобы избежать обнаружения приложением Activity Monitor в macOS. Если запущен Activity Monitor, XMRig перестает работать и перезапускается, когда пользователь выходит из Activity Monitor.
Загрузка пиратского приложения обычно связана с использованием торрент-клиента, и, поскольку эти клиенты не применяют никаких атрибутов карантина, загрузки обходят проверки проверки macOS Monterey. Однако с macOS Ventura пиратская копия Final Cut Pro не пройдет проверку и не запустится, но незаконная установка XMRig все еще происходит, и фоновый майнинг продолжается.
Именно из-за этой вредоносной атаки Apple хочет, чтобы вы совершали покупки в App Store, где Apple проверяет каждое приложение, чтобы убедиться, что оно не содержит вредоносных программ. В конце концов, больше сторонних приложений безопасности поймают эту атаку и обеспечат защиту (Jamf отмечает, что эта атака блокируется его службой Protect Threat Prevention). Самый простой способ избежать этой атаки — просто не использовать пиратское программное обеспечение. Официальная версия Final Cut Pro стоит 300 долларов, хотя есть 90-дневная бесплатная пробная версия.