La società di ricerca sulla sicurezza informatica, Jamf Threat Labs, ha scoperto che un nuovo malware di cripto-mining su macOS è stato iniettato attraverso versioni piratate di popolari strumenti di editing come Final Cut Pro, Logic Pro e Photoshop.
Durante le indagini su un famiglia di malware, i ricercatori hanno trovato una nuova iterazione di un vecchio malware macOS di cripto-mining dopo aver ricevuto un avviso sull’utilizzo di XMRig. Poiché XMRig è uno strumento a riga di comando per il mining di criptovalute, la sua natura open source viene utilizzata in modo improprio da aggressori malintenzionati per iniettare malware.
Il malware di cripto-jacking evasivo può aggirare il protocollo di sicurezza in l’ultimo macOS Ventura
Il rapporto descrive in dettaglio che la versione pirata di Final Cut Pro ha nascosto il malware utilizzando l’Invisible Internet Project (i2p) per la comunicazione e ha eseguito XMRig in background per inviare la criptovaluta estratta all’aggressore.
p>
Dopo che un utente ha installato l’app Final Cut Pro infetta, inizia immediatamente un processo per scaricare e configurare il malware e i componenti della riga di comando XMRig. Nasconde il mining come un processo”mdworker_local”.
Dopo aver scaricato il torrent più recente con il maggior numero di seeder da The Pirate Bay, Jamf ha scoperto che conteneva malware e l’uploader era la fonte del malware per estrarre segretamente la criptovaluta. Era la stessa fonte dei campioni segnalati in precedenza.
Si consiglia agli utenti Mac di non installare app piratate perché il nuovo malware di cripto-jacking può aggirare anche la sicurezza dell’ultimo aggiornamento di macOS Ventura.
I ricercatori notano che macOS Ventura può bloccare l’esecuzione dell’app dannosa. È dovuto al fatto che il malware lascia intatta la firma del codice originale ma modifica l’applicazione, fallendo la politica di sicurezza del sistema.
Tuttavia, macOS Ventura non impedisce l’esecuzione del minatore. Quindi, quando l’utente riceve un messaggio di errore che dice che Final Cut Pro è danneggiato e non può essere aperto, il malware è già stato installato.
Ulteriori informazioni:
