Se están utilizando versiones troyanizadas de aplicaciones legítimas para implementar malware evasivo de minería de criptomonedas en sistemas macOS.
Jamf Threat Labs, que hizo el descubrimiento, dijo que el minero de monedas XMRig se ejecutó mediante una modificación no autorizada en Final Cut Pro, un software de edición de video de Apple.
“Este malware utiliza Invisible Internet Project (i2p) para descargar componentes maliciosos y enviar moneda extraída a la billetera del atacante”, dijeron los investigadores de Jamf Matt Benyo, Ferdous Saljooki y Jaron Bradley en un informe compartido con The Noticias de piratas informáticos.
Trend Micro documentó una iteración anterior de la campaña hace exactamente un año, que señaló el uso de i2p por parte del malware para ocultar el tráfico de la red y especuló que podría haber entregado como un archivo DMG para Adobe Photoshop CC 2019.
La compañía de administración de dispositivos Apple dijo que la fuente de las aplicaciones de criptosecuestro se puede rastrear hasta Pirate Bay, y las primeras cargas datan de 2019.
El resultado es el descubrimiento de tres generaciones del malware, observado primero en agosto de 2019, abril de 2021 y octubre de 2021, respectivamente, que trazan la evolución de la sofisticación y el sigilo de la campaña.
Un ejemplo de la técnica de evasión es un script de shell que monitorea la lista de procesos en ejecución para verificar la presencia del Monitor de actividad y, de ser así, finalizar los procesos de minería.
El proceso de minería malicioso se basa en que el usuario inicia la aplicación pirateada, sobre el cual el código incrustado en el ejecutable se conecta a un servidor controlado por el actor a través de i2p para descargar el componente XMRig.
La capacidad del malware para pasar desapercibido, junto con el hecho de que los usuarios que ejecutan software descifrado están voluntariamente haciendo algo ilegal, ha hecho que el vector de distribución sea muy eficaz durante muchos años.
Apple, sin embargo, ha tomado medidas para combatir esas aplicaciones notariadas a verificaciones más estrictas de Gatekeeper en macOS Ventura, impidiendo así que se inicien aplicaciones manipuladas.
“Por otro lado, macOS Ventura no impidió que el minero se ejecutara”, señalaron los investigadores de Jamf. “Para cuando el usuario reciba el mensaje de error, ese malware ya se ha instalado”.
“Evitó que se iniciara la versión modificada de Final Cut Pro, lo que podría generar sospechas para el usuario y reducir en gran medida la probabilidad de que el usuario iniciara posteriormente”.
Fuente: The Hackers News