Cercetătorii în domeniul securității au descoperit un malware bazat pe Mac, în mare parte nedetectat, care circulă prin descărcări de software piratat de pe torrente.
Descoperirile provin de la furnizorul de securitate Jamf, care a descoperit malware-ul pe o versiune bootleg a software-ului Apple de editare video Final Cut Pro, care costă în mod normal 299,99 USD.
Jamf a observat pentru prima dată malware-ul care minează în secret criptomonede pe computerul Mac al unui client.
„Acest eșantion anume nu a fost detectat ca fiind rău intenționat de niciun furnizor de securitate pe VirusTotal. Din ianuarie 2023, câțiva furnizori au detectat malware-ul”, se arată într-o declarație.
Deoarece malware-ul a sosit printr-o versiune neautorizată și modificată a Final Cut Pro, Jamf a apelat la The Pirate Bay, un site renumit pentru că oferă software bootleg prin torrent.
„Am descărcat cel mai recent torrent (pentru Final Cut Pro) cu cel mai mare număr de seedere și am verificat hash-ul executabilului aplicației. Se potrivea cu hash-ul Final Cut Pro infectat pe care îl descoperisem în sălbăticie. Avem acum răspunsul nostru”, au spus cercetătorii de securitate.
Potrivit Jamf, un uploader de pe The Pirate Bay numit „wtfisthat34698409672”—care are o istorie de ani de postare de software bootleg pentru Mac — este responsabil nu numai de difuzarea malware-ului, ci și de împingerea altor variante ale codului rău intenționat. Aceasta include postarea versiunilor încărcate cu programe malware ale Logic Pro și Photoshop.
„În plus, am constatat că practic fiecare dintre zecile de încărcări care au început în 2019 a fost compromisă de o sarcină utilă rău intenționată pentru a extrage în mod secret criptomonede”, a spus Jamf.
Malware-ul în sine are asemănări cu un alt eșantion pe care furnizorul de antivirus Trend Micro l-a descoperit în urmă cu un an. La acea vreme, Trend Micro nu a reușit să descopere sursa exactă, dar a speculat că infecția a venit de la o instalare Adobe Photoshop CC.
Jamf spune că malware-ul a evoluat din 2019, când hackerul a început inițial să încarce software-ul piratat, dar rău intenționat, pentru Mac. Interesant este că malware-ul conține o funcție care va verifica dacă utilizatorul a accesat aplicația Monitor de activitate a Mac, care poate arăta utilizarea procesorului.
„Dacă găsește Monitorul de activitate, își încheie imediat toate procesele rău intenționate”, a spus Jamf. „În consecință, dacă victima observă că CPU-ul său funcționează mai mult decât în mod normal în timp ce extrage fără să știe crypto pentru atacator și deschide Monitorul de activitate pentru a-și confirma suspiciunea, malware-ul își oprește activitatea și se ascunde până la următoarea lansare a victimei.”
Cu toate acestea, Jamf a descoperit că malware-ul poate avea dificultăți să ruleze pe macOS Ventura recent lansat, datorită noilor măsuri de siguranță din sistemul de operare. Versiunea piratată a Final Cut Pro nu se va lansa pe macOS Ventura, rezultând un mesaj de eroare. Acestea fiind spuse, minerul de criptomonede încorporat în secret în software-ul piratat poate fi încă executat.
Jamf a remarcat, de asemenea, că hackerul ar putea actualiza malware-ul pentru a încerca să ocolească restricțiile de securitate din macOS Ventura.
„La momentul redactării articolului referitor la malware, Photoshop-ul piratat încărcat de wtfisthat34698409672 încă lansează cu succes atât componentele rău intenționate, cât și cele funcționale pe cea mai recentă versiune de macOS Ventura 13.2 și versiuni anterioare”, a adăugat compania.
Cercetarea este un memento pentru a fi atent la descărcarea produselor piratate. Software-ul bootleg a fost mult timp un mod în care hackerii pot introduce malware pe computere. Încărcătorul wtfisthat34698409672 rămâne activ pe The Pirate Bay.