Aplicativos macOS são trojanizados para implantar malware de mineração de criptomoeda

aplicativos-macos-sao-trojanizados-para-implantar-malware-de-mineracao-de-criptomoeda

Dispositivos Apple estão sendo alvos de malware. Versões trojanizadas de aplicativos legítimos estão sendo usadas para implantar malware evasivo de mineração de criptomoedas em sistemas macOS. Essa descoberta foi feita por Jamf Threat Labs, que disse que o minerador de moedas XMRig foi executado como Final Cut Pro, um software de edição de vídeo da Apple, que continha uma modificação não autorizada.

Malware executando mineração de criptomoeda em sistemas macOS

Uma iteração anterior da campanha foi documentada há exatamente um ano pela Trend Micro (Via: The Hacker News), que apontou o uso de i2p pelo malware para ocultar o tráfego de rede e especulou que pode ter sido entregue como um arquivo DMG para o Adobe Photoshop CC 2019.

A empresa de gerenciamento de dispositivos da Apple disse que a fonte dos aplicativos de cryptojacking pode ser rastreada até o Pirate Bay, com os primeiros uploads datando de 2019. O resultado é a descoberta de três gerações do malware, observadas primeiro em agosto de 2019, abril de 2021 e outubro de 2021, que mapeia a evolução da sofisticação e furtividade da campanha.

Um exemplo da técnica de evasão é um script de shell que monitora a lista de processos em execução para verificar a presença do Activity Monitor e, em caso afirmativo, encerra os processos de mineração.

Imagem: Reprodução | The Hacker News

A mineração

O processo de mineração malicioso baseia-se no usuário que inicia o aplicativo pirata, no qual o código embutido no executável se conecta a um servidor controlado por ator por i2p para baixar o componente XMRig. A capacidade do malware de passar despercebido, juntamente com o fato de que os usuários que executam software crackeado estão voluntariamente fazendo algo ilegal, tornou o vetor de distribuição altamente eficaz por muitos anos.

A Apple, no entanto, tomou medidas para inibir isso, submetendo aplicativos autenticados a verificações mais rigorosas do Gatekeeper no macOS Ventura, evitando assim que aplicativos adulterados sejam iniciados. No entanto, de acordo com Jamf, por outro lado, o macOS Ventura não impediu a execução do minerador. Segundo o pesquisador, “no momento em que o usuário recebe a mensagem de erro, esse malware já foi instalado.”

Isso impediu o lançamento da versão modificada do Final Cut Pro, o que poderia levantar suspeitas para o usuário, bem como reduzir muito a probabilidade de lançamentos subsequentes pelo usuário.

Esperamos que novas medidas protetivas sejam implementadas em breve, para evitar que essa mineração seja realizada.

Acesse a versão completa
Sair da versão mobile