La société de recherche en cybersécurité, Jamf Threat Labs, a découvert qu’un nouveau logiciel malveillant de crypto-minage sur macOS s’injectait via des versions piratées d’outils d’édition populaires tels que Final Cut Pro, Logic Pro et Photoshop.
En enquêtant sur un famille de logiciels malveillants, les chercheurs ont découvert une nouvelle itération d’un ancien logiciel malveillant macOS de crypto-extraction après avoir reçu une alerte concernant l’utilisation de XMRig. Comme XMRig est un outil de ligne de commande pour l’extraction de crypto-monnaie, sa nature open source est utilisée à mauvais escient par des attaquants malveillants pour injecter des logiciels malveillants.
Les logiciels malveillants de crypto-jacking évasifs peuvent contourner le protocole de sécurité dans le dernier macOS Ventura
Le rapport détaille que la version piratée de Final Cut Pro a caché le logiciel malveillant en utilisant le projet Internet invisible (i2p) pour la communication et a exécuté XMRig en arrière-plan pour envoyer la crypto-monnaie extraite à l’attaquant.
Une fois qu’un utilisateur a installé l’application Final Cut Pro infectée, un processus démarre immédiatement pour télécharger et configurer le logiciel malveillant et les composants de ligne de commande XMRig. Il déguise le minage en processus « mdworker_local ».
En téléchargeant le torrent le plus récent avec le plus grand nombre de seeders de The Pirate Bay, Jamf a découvert qu’il contenait des logiciels malveillants et que le téléchargeur était la source du logiciel malveillant pour miner secrètement la crypto-monnaie. Il s’agissait de la même source que les échantillons précédemment signalés.
Il est conseillé aux utilisateurs de Mac de ne pas installer d’applications piratées, car le nouveau logiciel malveillant de crypto-jacking peut également contourner la sécurité de la dernière mise à jour de macOS Ventura.
Les chercheurs notent que macOS Ventura peut bloquer l’exécution de l’application malveillante. Cela est dû au fait que le logiciel malveillant laisse intacte la signature du code d’origine mais modifie l’application, ce qui ne respecte pas la politique de sécurité du système.
Cependant, macOS Ventura n’empêche pas le mineur de s’exécuter. Ainsi, au moment où l’utilisateur reçoit un message d’erreur indiquant que Final Cut Pro est endommagé et ne peut pas être ouvert, le logiciel malveillant a déjà été installé.
En savoir plus :
