Las versiones troyanizadas de aplicaciones legítimas se están utilizando para implementar malware evasivo de minería de criptomonedas en sistemas macOS.
Jamf Threat Labs, que hizo el descubrimiento, dijo que el minero de monedas XMRig se ejecutó mediante una modificación no autorizada en Final Cut Pro, un software de edición de video de Apple.
«Este malware hace uso del Invisible Internet Project (i2p) […] para descargar componentes maliciosos y enviar moneda extraída a la billetera del atacante», dijeron los investigadores de Jamf Matt Benyo, Ferdous Saljooki y Jaron Bradley en un informe compartido con The Hacker News.
Una iteración anterior de la campaña fue documentada hace exactamente un año por Trend Micro, que señaló el uso del malware de i2p para ocultar el tráfico de red y especuló que podría haber sido entregado como un archivo DMG para Adobe Photoshop CC 2019.
La compañía de administración de dispositivos Apple dijo que la fuente de las aplicaciones de cryptojacking se remonta a Pirate Bay, con las primeras cargas que datan de 2019.
El resultado es el descubrimiento de tres generaciones del malware, observadas por primera vez en agosto de 2019, abril de 2021 y octubre de 2021, respectivamente, que trazan la evolución de la sofisticación y el sigilo de la campaña.
Un ejemplo de la técnica de evasión es un script de shell que supervisa la lista de procesos en ejecución para comprobar la presencia del Monitor de actividad y, de ser así, terminar los procesos de minería.
El proceso de minería malicioso se basa en el usuario que inicia la aplicación pirateada, sobre la cual el código incrustado en el ejecutable se conecta a un servidor controlado por actores a través de i2p para descargar el componente XMRig.
La capacidad del malware para volar bajo el radar, junto con el hecho de que los usuarios que ejecutan software crackeado están haciendo voluntariamente algo ilegal, ha hecho que el vector de distribución sea altamente efectivo durante muchos años.
Apple, sin embargo, ha tomado medidas para combatir dicho abuso al someter las aplicaciones notariadas a controles Gatekeeper más estrictos en macOS Ventura, evitando así que se lancen aplicaciones manipuladas.
«Por otro lado, macOS Ventura no impidió que el minero ejecutara», señalaron los investigadores de Jamf. «En el momento en que el usuario recibe el mensaje de error, ese malware ya ha sido instalado».
«Evitó el lanzamiento de la versión modificada de Final Cut Pro, lo que podría levantar sospechas para el usuario y reducir en gran medida la probabilidad de lanzamientos posteriores por parte del usuario».
Fuente: https://thehackernews.com