Territorio Móvil

Malware de criptominería de Mac encontrado en Final Cut Pro pirateado

Actualización: Apple ahora ha comentado sobre los hallazgos; consulte el final del artículo. La firma de seguridad cibernética Jamf Threat Labs ha encontrado malware de criptominería para Mac en el software pirateado Final Cut Pro. La compañía dice que el malware de cryptojacking estaba particularmente bien escondido y no fue detectado por la mayoría de las aplicaciones de seguridad de Mac. Jamf también advirtió que el poder de Apple Silicon Macs los convertirá en objetivos cada vez más populares para el cryptojacking, donde el malware usa el considerable poder de procesamiento de su computadora para extraer criptomonedas en beneficio de los atacantes…

Contenidos

fondo

A medida que las criptomonedas como Bitcoin se vuelven cada vez más difíciles de extraer y requieren amplios recursos de GPU, existen incentivos cada vez mayores para que los malos actores empleen técnicas de cryptojacking. Aquí traen malware a una cantidad significativa de dispositivos de otras personas para extraer monedas para ellos como un proceso en segundo plano. No sorprende que el software pirateado a menudo contenga malware, y el cryptojacking es uno de los ejemplos más comunes. Este es un problema importante ya que el malware consume una gran cantidad de recursos de su dispositivo y deja menos energía para ejecutar sus propias aplicaciones. Por lo general, el software de seguridad de Mac detecta este tipo de malware.

Malware de criptominería de Mac bien escondido

Sin embargo, Jamf Threat Labs encontró un ejemplo de malware de criptominería de Mac que logró evadir la detección, originalmente por parte de todas las aplicaciones de seguridad de Mac.

Durante los últimos meses, Jamf Threat Labs ha estado rastreando una familia de malware que resurgió y funcionó sin ser detectado, a pesar de que una iteración anterior era una figura muy conocida en la comunidad de seguridad. Mientras monitoreábamos de forma rutinaria nuestras detecciones de amenazas en la naturaleza, encontramos una alerta que indicaba el uso de XMRig, una herramienta de criptominería de línea de comandos. Aunque XMRig a menudo se usa con fines legítimos, su diseño adaptable de código abierto también lo convierte en una opción popular para los actores malintencionados. Este caso en particular nos interesó porque se ejecutaba bajo la apariencia del software de edición de video Final Cut Pro desarrollado por Apple. Investigaciones posteriores revelaron que se trataba de una versión modificada y maliciosa de Final Cut Pro que ejecutaba XMRig en segundo plano. En el momento de nuestro descubrimiento, ningún proveedor de seguridad detectó esta muestra en particular como maliciosa en VirusTotal. Un puñado de proveedores parece haber comenzado a detectar el malware desde enero de 2023, sin embargo, algunas de las aplicaciones modificadas maliciosamente permanecen sin identificar.

La fuente fue un conocido cargador de Pirate Bay, cuyas aplicaciones descifradas incluyen Photoshop, Logic Pro y Final Cut Pro.

Las formas inteligentes en que se esconde el malware

El método utilizado para ocultar el malware de la detección es un poco complicado, y Jamf dijo que es mucho más sigiloso que las dos primeras generaciones. La primera generación usó una API para obtener los permisos necesarios para instalar un demonio de lanzamiento. Sin embargo, esto requería la confirmación de la contraseña por parte del usuario, lo que era más un obsequio. La segunda generación cambió a un agente de lanzamiento que eliminó el requisito de contraseña pero solo se ejecutaba cuando el usuario abría la aplicación. En la tercera generación, el malware se volvió realmente astuto.

Cuando el usuario hace doble clic en el ícono de Final Cut Pro, el ejecutable troyano se ejecuta y lanza llamadas de shell para orquestar la configuración del malware. En el mismo ejecutable se incluyen dos grandes blobs Base64 que se decodifican a través de llamadas de shell. La decodificación de estos dos blobs da como resultado dos tarballs correspondientes. Uno contiene una copia de trabajo de Final Cut Pro. El otro blob codificado en base64 se decodifica en un ejecutable personalizado que es responsable de manejar el tráfico i2p cifrado. [ip2 is an alternative to TOR]. Una vez que los datos incrustados han sido decodificados de base64 y eliminados del archivo, los componentes resultantes se escriben en el directorio /private/tmp/ como archivos ocultos. Después de ejecutar el ejecutable 12p, la secuencia de comandos de instalación usa curl over i2p para conectarse al servidor web del autor malintencionado y descargar los componentes de la línea de comandos de XMRig que realizan la minería sigilosa. Se accede a la versión de Final Cut Pro que se inicia y se presenta al usuario desde este directorio y finalmente se elimina del disco duro.

También oculto del Monitor de actividad

El malware también tiene formas inteligentes de ocultarse cuando un usuario sospecha que su computadora funciona lentamente y abre el Monitor de actividad para verificar los procesos en ejecución.

El script ejecuta un ciclo infinito que verifica la lista de procesos en ejecución cada 3 segundos y busca el monitor de actividad. Si encuentra el Monitor de actividad, finaliza inmediatamente todos sus procesos maliciosos.

Además, los procesos de malware se renombran a procesos legítimos utilizados por Spotlight. Incluso si el usuario hubiera notado su breve aparición, no levantaría ninguna bandera roja. El malware se reiniciará la próxima vez que el usuario abra la aplicación comprometida.

Los controles continuos de Ventura a veces ayudan

Con macOS Ventura, Apple ha aumentado significativamente la protección contra malware. Originalmente, Gatekeeper solo verificaba las aplicaciones cuando se abrían por primera vez. Si pasaban esta prueba, se marcaban como seguros. En Ventura, Gatekeeper verifica que las aplicaciones no hayan sido modificadas cuando se abren más tarde. En algunos casos, esto genera un mensaje de error que indica que la aplicación está dañada y no se puede abrir. Sin embargo, en este punto, el malware ya está instalado. Además, Jamf ha encontrado al menos un caso en el que una versión comprometida de Photoshop sigue superando con éxito la comprobación de Gatekeeper. Dado el trabajo de la empresa, se espera que todas las versiones conocidas de esta familia de malware sean detectadas y bloqueadas por Jamf Protect Threat Prevention.

Espere más malware para Mac

Jamf advierte que el rendimiento de las Mac de la serie M las convierte en objetivos extremadamente atractivos para los ataques de cryprojacking y que, por lo tanto, podemos esperar mucho más malware para Mac de lo que hemos visto en el pasado. Justo ayer, Malwarebytes publicó su Informe sobre el estado del malware de 2023, que incluía pistas sobre el malware de Mac más frecuente. Apple ahora ha comentado sobre la investigación y nos ha dicho:

Seguimos actualizando XProtect para bloquear este malware, incluidas las variantes específicas identificadas en la investigación de JAMF. Además, esta familia de malware no pasa por alto la protección de Gatekeeper. La Mac App Store es el lugar más seguro para obtener software para Mac. Para el software descargado fuera de Mac App Store, Apple utiliza mecanismos técnicos líderes en la industria, como Apple Notary Service y XProtect, para proteger a los usuarios al detectar y bloquear la ejecución de malware.

Foto: Mark Cruz/Unsplash FTC: Utilizamos enlaces de afiliados de automóviles que generan ingresos. Más.

MÁS SOBRE APPLE
T-Mobile está renunciando al descuento de AutoPay para Apple Pay a pesar de los problemas de seguridad anteriores
La autoridad de competencia francesa inicia una investigación sobre el ATT de Apple
iOS 17 Beta 4: Esto es nuevo
Cuarta beta para desarrolladores de iOS 17 y iPadOS 17 implementada por Apple
Encuesta: ¿Seguirá valiendo la pena la Apple Card en 2023? [Video]
El iPhone 15 podría tener una lente de cámara mejorada y una mayor apertura

Deja una respuesta

Tu dirección de correo electrónico no será publicada.