 |
Se están utilizando versiones de aplicaciones legítimas con troyanos para desplegar malware evasivo de minería de criptomonedas en sistemas macOS. Jamf Threat Labs, que hizo el descubrimiento, dijo que el minero de monedas XMRig se ejecutó mediante una modificación no autorizada en Final Cut Pro, un software de edición de vídeo de Apple. |
"Este malware utiliza el Proyecto de Internet Invisible (i2p) [...] para descargar componentes maliciosos y enviar la moneda extraída a la cartera del atacante", afirman los investigadores de Jamf Matt Benyo, Ferdous Saljooki y Jaron Bradley en un informe compartido con The Hacker News.
Una iteración anterior de la campaña fue documentada hace exactamente un año por Trend Micro, que señaló el uso de i2p por parte del malware para ocultar el tráfico de red y especuló que podría haber sido entregado como un archivo DMG para Adobe Photoshop CC 2019.
Según la empresa encargada de la gestión de dispositivos de Apple, el origen de las aplicaciones de secuestro de criptomonedas se remonta a Pirate Bay, y las primeras subidas se remontan a 2019.
El resultado es el descubrimiento de tres generaciones del malware, observadas por primera vez en agosto de 2019, abril de 2021 y octubre de 2021, respectivamente, que trazan la evolución de la sofisticación y el sigilo de la campaña.
Un ejemplo de la técnica de evasión es un script de shell que monitoriza la lista de procesos en ejecución para comprobar la presencia de Activity Monitor y, en caso afirmativo, terminar los procesos de minería.
El proceso de minería maliciosa se basa en que el usuario inicie la aplicación pirateada, tras lo cual el código incrustado en el ejecutable se conecta a un servidor controlado por un actor a través de i2p para descargar el componente XMRig.
La capacidad del malware para pasar desapercibido, junto con el hecho de que los usuarios que ejecutan software pirateado están haciendo algo ilegal voluntariamente, ha hecho que el vector de distribución sea muy eficaz durante muchos años.
Apple, sin embargo, ha tomado medidas para combatir este tipo de abusos sometiendo las aplicaciones crackeadas a comprobaciones más estrictas de Gatekeeper en macOS Ventura, impidiendo así que se lancen aplicaciones manipuladas.
"Por otro lado, macOS Ventura no impidió que el minero se ejecutara", señalaron los investigadores de Jamf. "Para cuando el usuario recibe el mensaje de error, ese malware ya se ha instalado".
"Sí impidió el lanzamiento de la versión modificada de Final Cut Pro, lo que podría levantar sospechas en el usuario, así como reducir en gran medida la probabilidad de lanzamientos posteriores por parte del usuario".
Fuente: https://thehackernews.com/2023/02/hackers-using-trojanized-macos-apps-to.html