Des versions trojanisées d’applications légitimes sont utilisées pour déployer des logiciels malveillants d’extraction de crypto-monnaie évasifs sur les systèmes macOS.
Jamf Threat Labs, qui a fait la découverte, a déclaré que le mineur de pièces XMRig était exécuté sous le nom de Final Cut Pro, un logiciel de montage vidéo d’Apple, qui contenait une modification non autorisée.
« Ce logiciel malveillant utilise le projet Internet invisible (i2p) […] pour télécharger des composants malveillants et envoyer de l’argent extrait au portefeuille de l’attaquant », ont déclaré les chercheurs de Jamf, Matt Benyo, Ferdous Saljooki et Jaron Bradley. a dit dans un rapport partagé avec The Hacker News.
Une itération précédente de la campagne a été documenté il y a exactement un an par Trend Micro, qui a souligné l’utilisation d’i2p par le logiciel malveillant pour dissimuler le trafic réseau et a émis l’hypothèse qu’il aurait pu être fourni sous forme de fichier DMG pour Adobe Photoshop CC 2019.
La société de gestion d’appareils Apple a déclaré que la source des applications de cryptojacking peut être attribuée à Pirate Bay, les premiers téléchargements remontant à 2019.
Le résultat est la découverte de trois générations de logiciels malveillants, observées pour la première fois en août 2019, avril 2021 et octobre 2021, qui retracent l’évolution de la sophistication et de la furtivité de la campagne.
Un exemple de la technique d’évasion est un script shell qui surveille la liste des processus en cours d’exécution pour vérifier la présence de Moniteur d’activitéet si c’est le cas, mettez fin aux processus d’exploration de données.
Le processus d’extraction malveillant repose sur l’utilisateur qui lance l’application piratée, après quoi le code intégré dans l’exécutable se connecte à un serveur contrôlé par un acteur via i2p pour télécharger le composant XMRig.
La capacité du logiciel malveillant à voler sous le radar, associée au fait que les utilisateurs exécutant des logiciels piratés font volontairement quelque chose d’illégal, a fait du vecteur de distribution un vecteur très efficace pendant de nombreuses années.
Apple, cependant, a pris des mesures pour lutter contre ces abus en soumettant les applications notariées à des contrôles Gatekeeper plus stricts dans macOS Ventura, empêchant ainsi le lancement d’applications falsifiées.
« D’un autre côté, macOS Ventura n’a pas empêché le mineur de s’exécuter », ont noté les chercheurs de Jamf. « Au moment où l’utilisateur reçoit le message d’erreur, ce logiciel malveillant a déjà été installé. »
« Cela a empêché le lancement de la version modifiée de Final Cut Pro, ce qui pourrait éveiller les soupçons de l’utilisateur et réduire considérablement la probabilité de lancements ultérieurs par l’utilisateur. »
