Connect with us

Hi, what are you looking for?

Наука и технологии

В пиратских копиях Final Cut Pro нашли встроенные майнеры криптовалют

В пиратских копиях Final Cut Pro нашли встроенные майнеры криптовалют

В пиратских копиях Final Cut Pro нашли встроенные майнеры криптовалют

Со временем майнинг криптовалют становится все более дорогим процессом, и некоторые злоумышленники находят способы получать «монеты», пользуясь ресурсами других людей. Например, «подкладывая» соответствующее ПО в пиратские версии программ, что позволяет использовать чужие ресурсы ПК (или других устройств) для майнинга. И в этот раз это произошло с Final Cut Pro.

Трудно найти человека, занимающегося обработкой видео и никогда не слышавшего о Final Cut Pro. В одной из самых популярных программ для нелинейного монтажа от Apple был найден «вредитель», позволяющий майнить в фоне, прекрасно обходящий антивирусную безопасность и скрывается от самого пользователя.

Сообщила об этом компания Jamf Threat Labs:

В последние несколько месяцев Jamf Threat Labs следила за семейством вредоносного программного обеспечения, которое вновь появилось и работало незамеченным, несмотря на то, что о предыдущей итерации было известно сообществу безопасности.

Во время обычного мониторинга выявленных угроз, о которых уже было известно, мы наткнулись на уведомление, указывающее на использование XMRig, инструмента командной строки для криптомайнинга. Хотя XMRig обычно используется в законных целях, адаптивный дизайн с открытым кодом также сделал его популярным выбором для злоумышленников.

Этот конкретный экземпляр заинтересовал нас, поскольку он производился под видом разработанного Apple программного обеспечения для редактирования видео Final Cut Pro. Дальнейшее расследование показало, что это была модифицированная вредоносная версия Final Cut Pro, которая выполняла XMRig в фоновом режиме.

На момент нашего открытия этот конкретный образец не был обнаружен как злонамеренный ни одним поставщиком безопасности VirusTotal. Несколько вендоров, кажется, начали обнаруживать вредоносное программное обеспечение с января 2023 года, однако некоторые из злонамеренно модифицированных программ до сих пор остаются неидентифицированными.

Скрывался такой «подарок» в раздачах хорошо известного «поставщика» на Pirate Bay, который также предлагает Photoshop и Logic Pro.

Как рассказывает Jamf Threat Labs, это уже третья версия такого майнера. Первый получал необходимые права через Launch Daemon, что потребовало пароль пользователя. Второй использовал Launch Agent, но работал только тогда, когда и была инфицирована программа. Третий пошел гораздо дальше:

Когда пользователь дважды кликает иконку Final Cut Pro, запускается троянизированный исполняемый файл, запускающий вызовы командного интерпретатора для организации установки вредоносного программного обеспечения. В одном исполняемом файле содержатся два больших блока base64, которые расшифровываются с помощью вызовов командного интерпретатора. Расшифровка обоих блоков приводит к созданию двух подходящих tar-архивов.

Один из них содержит рабочую копию Final Cut Pro. Другой блок, закодированный в base64, декодируется в специальный исполняемый файл, ответственный за обработку зашифрованного i2p-трафика [ip2 — это альтернатива TOR]. После декодирования встроенных данных из base64 и разархивирования полученные компоненты записываются в каталог /private/tmp/ как скрытые файлы.

После запуска исполняемого файла 12p скрипт установки использует curl через i2p для подключения к веб-серверу злоумышленника и загрузки компонентов командной строки XMRig, выполняющих скрытый майнинг. Запускаемая и демонстрируемая пользователю версия Final Cut Pro вызывается из этого каталога и в конце концов удаляется с диска.

Также майнер три секунды проверяет, не запущен ли Activity Monitor. Как только он увидит его запуск, останавливает все противоправные процессы. Более того, он еще и переименовывает процессы в такие, которые выполняет Spotlight (поиск в macOS), что не должно вызывать подозрений у пользователя, если он их увидит. А со следующим запуском инфицированной программы, майнерские дела снова запустятся.

И этот случай также прокомментировала Apple:

Мы продолжаем обновлять XProtect, чтобы блокировать это вредоносное программное обеспечение, включая конкретные варианты, указанные в исследовании Jamf. Кроме того, это семейство вредоносных программ не обходит средства защиты Gatekeeper.

Mac App Store – самое безопасное место для получения программного обеспечения для Mac. Для программного обеспечения, загруженного вне Mac App Store, Apple использует ведущие в области технические механизмы, такие как Apple notary service и XProtect, чтобы защитить пользователей путем обнаружения вредоносного ПО и его блокировки.

Защита в macOS Ventura была значительно улучшена, ведь Gatekeeper проверяет ПО не только при первом запуске, но и после него. Но уже встречались и обходившие версии Photoshop.

По словам Jamf, подобных случаев стоит ожидать все больше, ведь производительность Mac из Apple Silicon делает эти компьютеры лакомым кусочком для криптомайнеров.