Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Bản lậu Final Cut Pro dành cho macOS cung cấp khả năng phân phối phần mềm độc hại tàng hình

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 79

Những người sử dụng các phiên bản vi phạm bản quyền của phần mềm chỉnh sửa video Final Cut Pro của Apple có thể đã nhận được nhiều hơn những gì họ mặc cả khi họ tải xuống phần mềm này từ nhiều torrent bất hợp pháp có sẵn phần mềm này.

Ít nhất trong vài tháng qua, một tác nhân đe dọa không xác định đã sử dụng phiên bản vi phạm bản quyền của phần mềm macOS để cung cấp công cụ khai thác tiền điện tử XMRig trên các hệ thống thuộc về những người đã tải xuống ứng dụng.

Các nhà nghiên cứu từ Jamf, người gần đây đã phát hiện ra hoạt động này, đã không thể xác định có bao nhiêu người dùng có thể đã cài đặt phần mềm vũ khí hóa trên hệ thống của họ và hiện đang chạy XMRig trên chúng, nhưng mức độ chia sẻ phần mềm cho thấy có thể lên tới hàng trăm.

Tiềm năng tác động rộng cho XMRig

Jaron Bradley, chuyên gia phát hiện macOS tại Jamf, cho biết công ty của ông đã phát hiện hơn 400 seeder — hoặc người dùng có ứng dụng hoàn chỉnh — cung cấp ứng dụng qua torrent cho những người muốn. Nhà cung cấp bảo mật phát hiện ra rằng cá nhân ban đầu đã tải lên phiên bản vũ khí hóa của Final Cut Pro để chia sẻ torrent là người có thành tích nhiều năm tải lên phần mềm macOS vi phạm bản quyền với cùng một công cụ khai thác tiền điện tử. Phần mềm mà kẻ đe dọa đã lén đưa phần mềm độc hại vào trước đó bao gồm các phiên bản macOS vi phạm bản quyền của Logic Pro và Adobe Photoshop.

“Với số lượng seeder tương đối cao và [thực tế] tác giả phần mềm độc hại đã có đủ động lực để liên tục cập nhật và tải phần mềm độc hại lên trong vòng ba năm rưỡi, chúng tôi nghi ngờ rằng nó có phạm vi tiếp cận khá rộng,” Bradley nói .

Jamf mô tả Final Cut Pro bị đầu độc mẫu mà nó phát hiện là phiên bản mới và cải tiến của các mẫu phần mềm độc hại trước đó, với các tính năng che giấu làm cho nó gần như vô hình đối với trình quét phần mềm độc hại trên VirusTotal. Một thuộc tính quan trọng của phần mềm độc hại là việc sử dụng giao thức Dự án Internet vô hình (i2p) để liên lạc. I2p là một lớp mạng riêng cung cấp cho người dùng loại ẩn danh tương tự như được cung cấp bởi mạng The Onion Router (Tor). Tất cả lưu lượng truy cập i2p tồn tại bên trong mạng, nghĩa là nó không chạm trực tiếp vào Internet.

Bradley nói: “Tác giả phần mềm độc hại không bao giờ tiếp cận một trang web ở bất kỳ đâu ngoại trừ trong mạng i2p. “Tất cả công cụ của kẻ tấn công được tải xuống qua mạng i2p ẩn danh và tiền tệ khai thác được cũng được gửi đến ví của kẻ tấn công qua i2p.”

Với phiên bản Final Cut Pro vi phạm bản quyền mà Jamf đã phát hiện ra, tác nhân đe dọa đã sửa đổi tệp nhị phân chính để khi người dùng nhấp đúp vào gói ứng dụng, tệp thực thi chính là một phần mềm độc hại nhỏ giọt. Bradley cho biết: “Dropper chịu trách nhiệm thực hiện tất cả các hoạt động độc hại khác trên hệ thống, bao gồm khởi chạy công cụ khai thác tiền điện tử trong nền và sau đó hiển thị ứng dụng vi phạm bản quyền cho người dùng.

Sự phát triển phần mềm độc hại liên tục

Như đã lưu ý, một trong những điểm khác biệt đáng chú ý nhất giữa phiên bản mới nhất của phần mềm độc hại và các phiên bản trước đó là khả năng tàng hình tăng lên. - nhưng đây đã là một khuôn mẫu. 

Phiên bản sớm nhất — được đưa vào phần mềm macOS vi phạm bản quyền vào năm 2019 — là loại tiền điện tử ít lén lút và được khai thác nhất mọi lúc cho dù người dùng có ở máy tính hay không. Điều này làm cho nó dễ dàng để phát hiện. Phiên bản sau của phần mềm độc hại trở nên lén lút hơn; nó sẽ chỉ bắt đầu khai thác tiền điện tử khi người dùng mở một chương trình phần mềm vi phạm bản quyền. 

“Điều này khiến người dùng khó phát hiện hoạt động của phần mềm độc hại hơn nhưng nó sẽ tiếp tục khai thác cho đến khi người dùng đăng xuất hoặc khởi động lại máy tính. Ngoài ra, các tác giả bắt đầu sử dụng một kỹ thuật gọi là mã hóa cơ sở 64 để ẩn các chuỗi mã đáng ngờ liên quan đến phần mềm độc hại, khiến các chương trình chống vi-rút khó phát hiện hơn,” Bradley nói.

Anh ấy nói với Dark Reading rằng với phiên bản mới nhất, phần mềm độc hại thay đổi tên quy trình để trông giống với các quy trình hệ thống. “Điều này khiến người dùng khó phân biệt các quy trình của phần mềm độc hại với các quy trình gốc khi xem danh sách quy trình bằng công cụ dòng lệnh.

Một tính năng vẫn nhất quán qua các phiên bản khác nhau của phần mềm độc hại là việc theo dõi liên tục ứng dụng “Activity Monitor”. Người dùng thường có thể mở ứng dụng để khắc phục sự cố với máy tính của họ và khi làm như vậy có thể sẽ phát hiện ra phần mềm độc hại. Vì vậy, “một khi phần mềm độc hại phát hiện ra rằng người dùng đã mở Trình giám sát hoạt động, nó sẽ ngay lập tức dừng tất cả các quy trình của nó để tránh bị phát hiện.”

Trường hợp các tác nhân đe dọa đưa phần mềm độc hại vào các ứng dụng macOS vi phạm bản quyền là rất hiếm. Trên thực tế, một trong những trường hợp nổi tiếng cuối cùng của hoạt động như vậy là vào tháng 2020 năm XNUMX, khi các nhà nghiên cứu tại Malwarebytes phát hiện ra một phiên bản vi phạm bản quyền tường lửa ứng dụng Little Snitch có chứa một trình tải xuống cho một biến thể ransomware macOS.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.