合法应用程序的木马版本被用于在macOS系统上部署规避的加密货币挖矿恶意软件。做出这一发现的Jamf Threat Labs表示,XMRig币矿工是作为苹果公司的视频编辑软件Final Cut Pro执行的,其中包含未经授权的修改。Jamf研究人员Matt Benyo、Ferdous Saljooki和Jaron Bradley在与《黑客新闻》分享的一份报告中表示:“该恶意软件利用隐形互联网项目(i2p)[…]下载恶意组件,并将挖空的货币发送到攻击者的钱包。”
一年前,Trend Micro记录了该活动的早期版本,指出该恶意软件使用i2p隐藏网络流量,并推测其可能已作为Adobe Photoshop CC 2019的DMG文件交付。苹果设备管理公司表示,加密劫持应用程序的来源可以追溯到海盗湾,最早的上传可以追溯到2019年。其结果是发现了三代恶意软件,首次发现于2019年8月、2021 4月和2021 10月,绘制了该活动复杂度和隐蔽性的演变图。回避技术的一个示例是shell脚本,它监视正在运行的进程列表,以检查是否存在活动监视器,如果存在,则终止挖掘进程。
恶意挖矿过程依赖于用户启动盗版应用程序,在此基础上,嵌入在可执行文件中的代码通过i2p连接到演员控制的服务器,以下载XMRig组件。该恶意软件能够在雷达下飞行,加上运行破解软件的用户愿意做一些非法的事情,这使得多年来该传播媒介一直是一种高效的传播媒介。然而,苹果已经采取措施,通过在macOS Ventura中对经过公证的应用程序进行更严格的门卫检查,从而防止被篡改的应用程序被发布,从而打击此类滥用行为。Jamf研究人员指出:“另一方面,macOS Ventura并没有阻止矿工执行死刑。当用户收到错误消息时,该恶意软件已经安装。它确实阻止了Final Cut Pro的修改版本的启动,这可能会引起用户的怀疑,并大大降低用户随后启动的可能性。”
原文始发于微信公众号(黑猫安全):黑客使用木马化的macOS应用程序部署规避加密货币挖掘恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论