Les personnes utilisant des versions piratées du logiciel de montage vidéo Final Cut Pro d'Apple ont peut-être obtenu plus que prévu lorsqu'elles ont téléchargé le logiciel à partir des nombreux torrents illicites par lesquels il est disponible.
Au cours des derniers mois au moins, un acteur malveillant inconnu a utilisé une version piratée du logiciel macOS pour fournir l'outil d'extraction de crypto-monnaie XMRig sur les systèmes appartenant aux personnes qui ont téléchargé l'application.
Les chercheurs de Jamf qui ont récemment repéré l'opération n'ont pas été en mesure de déterminer combien d'utilisateurs auraient pu installer le logiciel armé sur leur système et sur lesquels XMRig s'exécute actuellement, mais le niveau de partage du logiciel suggère qu'il pourrait s'agir de centaines.
Impact potentiellement large pour XMRig
Jaron Bradley, expert en détection macOS chez Jamf, explique que son entreprise a repéré plus de 400 semoirs - ou utilisateurs qui ont l'application complète - la rendant disponible via torrent à ceux qui le souhaitent. Le fournisseur de sécurité a découvert que la personne qui avait téléchargé à l'origine la version armée de Final Cut Pro pour le partage de torrents était une personne ayant plusieurs années d'expérience dans le téléchargement de logiciels macOS piratés avec le même cryptomineur. Le logiciel dans lequel l'auteur de la menace avait précédemment introduit le logiciel malveillant comprend des versions macOS piratées de Logic Pro et d'Adobe Photoshop.
"Compte tenu du nombre relativement élevé de semeurs et [du fait] que l'auteur du malware a été suffisamment motivé pour mettre à jour et télécharger le malware en continu pendant trois ans et demi, nous pensons qu'il a une portée assez large", déclare Bradley. .
Jamf a décrit le Final Cut Pro empoisonné échantillon qu'il a découvert comme une nouvelle version améliorée d'échantillons précédents du logiciel malveillant, avec des fonctionnalités d'obfuscation qui l'ont rendu presque invisible pour les scanners de logiciels malveillants sur VirusTotal. L'un des principaux attributs du logiciel malveillant est son utilisation du protocole Invisible Internet Project (i2p) pour la communication. I2p est une couche de réseau privé qui offre aux utilisateurs un type d'anonymat similaire à celui offert par le réseau The Onion Router (Tor). Tout le trafic i2p existe à l'intérieur du réseau, ce qui signifie qu'il ne touche pas directement Internet.
"L'auteur du malware n'atteint jamais un site Web situé ailleurs qu'au sein du réseau i2p", déclare Bradley. "Tous les outils des attaquants sont téléchargés sur le réseau i2p anonyme et la monnaie extraite est également envoyée au portefeuille des attaquants via i2p."
Avec la version piratée de Final Cut Pro découverte par Jamf, l'auteur de la menace avait modifié le binaire principal. Ainsi, lorsqu'un utilisateur double-clique sur le bundle d'applications, l'exécutable principal est un compte-gouttes de logiciels malveillants. Le compte-gouttes est responsable de l'exécution de toutes les autres activités malveillantes sur le système, y compris le lancement du cryptomineur en arrière-plan, puis l'affichage de l'application piratée à l'utilisateur, explique Bradley.
Évolution continue des logiciels malveillants
Comme indiqué, l'une des différences les plus notables entre la dernière version du logiciel malveillant et les versions précédentes est sa furtivité accrue. - mais cela a été un modèle.
La première version - intégrée au logiciel macOS piraté en 2019 - était la crypto-monnaie la moins furtive et la moins exploitée tout le temps, que l'utilisateur soit à l'ordinateur ou non. Cela a rendu facile à repérer. Une itération ultérieure du malware est devenue plus sournoise ; il ne commencerait à extraire la crypto-monnaie que lorsque l'utilisateur ouvrirait un logiciel piraté.
"Cela rendait plus difficile pour les utilisateurs de détecter l'activité du malware, mais il continuerait à miner jusqu'à ce que l'utilisateur se déconnecte ou redémarre l'ordinateur. De plus, les auteurs ont commencé à utiliser une technique appelée codage en base 64 pour masquer les chaînes de code suspectes associées au logiciel malveillant, ce qui rend la détection plus difficile pour les programmes antivirus », explique Bradley.
Il raconte à Dark Reading qu'avec la dernière version, le malware modifie le nom du processus pour qu'il soit identique aux processus système. "Cela rend difficile pour l'utilisateur de distinguer les processus malveillants des processus natifs lors de l'affichage d'une liste de processus à l'aide d'un outil de ligne de commande.
Une caractéristique qui est restée cohérente à travers les différentes versions du logiciel malveillant est sa surveillance constante de l'application "Activity Monitor". Les utilisateurs peuvent souvent ouvrir l'application pour résoudre des problèmes avec leurs ordinateurs et, ce faisant, ils pourraient finir par détecter le logiciel malveillant. Ainsi, "une fois que le logiciel malveillant détecte que l'utilisateur a ouvert le moniteur d'activité, il arrête immédiatement tous ses processus pour éviter la détection".
Les cas d'acteurs malveillants regroupant des logiciels malveillants dans des applications macOS piratées sont rares et espacés. En fait, l'un des derniers cas bien connus d'une telle opération remonte à juillet 2020, lorsque des chercheurs de Malwarebytes ont découvert un version piratée du pare-feu applicatif Little Snitch qui contenait un téléchargeur pour une variante de ransomware macOS.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/analytics/pirated-final-cut-pro-macos-stealth-malware-delivery
