高度回避的加密货币矿工目标macOS

Jamf Threat Labs的研究人员报告称，一个以macOS为目标的躲避式密码劫持恶意软件被发现以苹果开发的视频编辑软件Final Cut Pro为幌子传播合法应用程序的特洛伊化版本被用于在macOS系统上部署XMRig加密货币矿工。

“进一步的调查显示，这个恶意版本的Final Cut Pro包含一个未经苹果授权的修改，该修改是在后台执行XMRig的。”专家发表的分析写道。在发现时，专家分析的样本未被VirusTotal上的任何安全供应商标记为恶意。今天，许多恶意应用程序仍然未被大多数AV供应商发现。该恶意软件依赖于i2p（隐形互联网项目）匿名网络进行通信。恶意代码使用i2p下载恶意组件，并将挖空的货币发送到攻击者的钱包。

研究人员注意到与Trend Micro在2022年2月报道的其他例子相似。然而，Jamf威胁实验室指出，仍然存在差异和未回答的问题，例如为什么他们发现的样本如此含糊其辞。“我们下载了播种机数量最多的最新种子，并检查了应用程序可执行文件的哈希。它与我们在野外发现的感染Final Cut Pro的哈希相匹配。我们现在有了答案。”分析继续说道。

“我们观察到，该torrent是由一名用户上传的，该用户多年来一直有上传盗版macOS软件torrent的记录，其中许多都是其各自标题最广泛共享的版本之一”Jamf的报告显示，至少从2019年起，这款被污染的应用就通过海盗湾发布。Jamf能够识别通过盗版应用程序分发的恶意软件的各种样本，确定它们何时出现在torrent社区，何时开始提交给VirusTotal，以及安全供应商何时开始检测恶意软件。这使得网络安全公司能够了解恶意软件的演变以及作者为避免被发现而使用的策略和技术。专家们自2019年8月以来发现了三代恶意软件。

原文始发于微信公众号（黑猫安全）：高度回避的加密货币矿工目标macOS