Apple의 Final Cut Pro 비디오 편집 소프트웨어의 불법 복제 버전을 사용하는 사람들은 사용 가능한 많은 불법 토렌트에서 소프트웨어를 다운로드했을 때 예상했던 것보다 더 많은 것을 얻었을 수 있습니다.
적어도 지난 몇 달 동안 알려지지 않은 공격자가 macOS 소프트웨어의 불법 복제 버전을 사용하여 앱을 다운로드한 사람들의 시스템에 XMRig 암호화폐 채굴 도구를 배포했습니다.
최근 이 작업을 발견한 Jamf의 연구원은 얼마나 많은 사용자가 시스템에 무기화된 소프트웨어를 설치하고 현재 XMRig를 실행하고 있는지 확인할 수 없었지만 소프트웨어 공유 수준은 수백 명에 달할 수 있음을 시사합니다.
XMRig에 대한 잠재적으로 광범위한 영향
Jamf의 macOS 탐지 전문가인 Jaron Bradley는 그의 회사가 400명 이상의 시더(완전한 앱을 가진 사용자)를 발견했다고 말합니다. 이 보안 공급업체는 토렌트 공유를 위해 Final Cut Pro의 무기화된 버전을 처음 업로드한 개인이 동일한 크립토마이너로 불법 복제된 macOS 소프트웨어를 업로드한 다년간의 기록을 가진 사람임을 발견했습니다. 위협 행위자가 이전에 악성 코드를 몰래 넣은 소프트웨어에는 불법 복제된 macOS 버전의 Logic Pro 및 Adobe Photoshop이 포함됩니다.
브래들리는 "상대적으로 많은 수의 시더와 맬웨어 작성자가 XNUMX년 반 동안 지속적으로 맬웨어를 업데이트하고 업로드할 만큼 충분한 동기를 부여받았다는 사실을 고려할 때 상당히 광범위한 도달 범위를 가지고 있다고 생각합니다."라고 말했습니다. .
Jamf는 중독된 Final Cut Pro에 대해 설명했습니다. VirusTotal의 맬웨어 스캐너에 거의 보이지 않게 만드는 난독화 기능을 갖춘 이전 맬웨어 샘플의 새롭고 개선된 버전으로 발견한 샘플입니다. 맬웨어의 주요 특성 중 하나는 통신에 i2p(Invisible Internet Project) 프로토콜을 사용한다는 것입니다. I2p는 The Onion Router(Tor) 네트워크에서 제공하는 것과 유사한 종류의 익명성을 사용자에게 제공하는 사설 네트워크 계층입니다. 모든 i2p 트래픽 네트워크 내부에 존재즉, 인터넷에 직접 닿지 않습니다.
"맬웨어 작성자는 i2p 네트워크 내를 제외하고는 어디에도 있는 웹 사이트에 접근하지 않습니다."라고 Bradley는 말합니다. "모든 공격자 도구는 익명의 i2p 네트워크를 통해 다운로드되고 채굴된 통화도 i2p를 통해 공격자의 지갑으로 전송됩니다."
Jamf가 발견한 Final Cut Pro의 불법 복제 버전을 통해 위협 행위자는 사용자가 애플리케이션 번들을 두 번 클릭할 때 기본 실행 파일이 맬웨어 드롭퍼가 되도록 기본 바이너리를 수정했습니다. 드로퍼는 백그라운드에서 크립토마이너를 실행한 다음 불법 복제된 애플리케이션을 사용자에게 표시하는 것을 포함하여 시스템에서 모든 추가적인 악의적인 활동을 수행하는 역할을 한다고 브래들리는 말했습니다.
지속적인 맬웨어 진화
언급한 바와 같이 최신 버전의 맬웨어와 이전 버전 간의 가장 눈에 띄는 차이점 중 하나는 은폐 기능이 강화되었다는 것입니다. - 그러나 이것은 패턴이었습니다.
2019년에 불법 복제된 macOS 소프트웨어에 번들로 포함된 가장 초기 버전은 사용자가 컴퓨터에 있든 없든 항상 가장 덜 은밀하고 채굴된 암호화폐였습니다. 이를 통해 쉽게 알아볼 수 있었습니다. 멀웨어의 이후 반복은 더 교묘해졌습니다. 사용자가 불법 복제 소프트웨어 프로그램을 열 때만 암호화폐 채굴을 시작합니다.
“이로 인해 사용자가 맬웨어 활동을 감지하기가 더 어려워졌지만 사용자가 로그아웃하거나 컴퓨터를 다시 시작할 때까지 계속 채굴됩니다. 또한 작성자는 악성 코드와 관련된 의심스러운 코드 문자열을 숨기기 위해 base 64 인코딩이라는 기술을 사용하기 시작했습니다.
그는 Dark Reading에 최신 버전에서 맬웨어가 시스템 프로세스와 동일하게 보이도록 프로세스 이름을 변경한다고 말했습니다. "이로 인해 사용자는 명령줄 도구를 사용하여 프로세스 목록을 볼 때 악성 코드 프로세스와 기본 프로세스를 구별하기가 어렵습니다.
다른 버전의 맬웨어를 통해 일관성을 유지한 한 가지 기능은 "활동 모니터" 응용 프로그램을 지속적으로 모니터링하는 것입니다. 사용자는 종종 컴퓨터의 문제를 해결하기 위해 앱을 열 수 있으며 그렇게 함으로써 결국 맬웨어를 탐지할 수 있습니다. 따라서 "맬웨어는 사용자가 Activity Monitor를 연 것을 감지하면 감지를 피하기 위해 즉시 모든 프로세스를 중지합니다."
불법 복제된 macOS 앱에 맬웨어를 번들로 포함하는 위협 행위자의 인스턴스는 매우 드물었습니다. 실제로 이러한 작업의 마지막으로 잘 알려진 사례 중 하나는 2020년 XNUMX월 Malwarebytes의 연구원이 다음을 발견했을 때였습니다. 응용 프로그램 방화벽 Little Snitch의 불법 복제 버전 macOS 랜섬웨어 변종용 다운로더가 포함되어 있었습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/analytics/pirated-final-cut-pro-macos-stealth-malware-delivery
