Các hacker đang sử dụng các ứng dụng macOS đã bị lợi dụng để triển khai phần mềm đào tiền điện tử tiềm ẩn trên hệ thống macOS.
Jamf Threat Labs đã phát hiện ra rằng trình khai thác tiền điện tử XMRig được thực thi dưới dạng Final Cut Pro, một phần mềm chỉnh sửa video từ Apple, chứa sửa đổi không được ủy quyền. “Phần mềm độc hại này sử dụng Dự án Internet Vô hình (i2p) để tải xuống các thành phần độc hại và gửi tiền đã đào được vào ví của kẻ tấn công”, các nhà nghiên cứu của Jamf, Matt Benyo, Ferdous Saljooki và Jaron Bradley, cho biết trong một báo cáo mới được chia sẻ.
Công ty quản lý thiết bị của Apple cho biết nguồn gốc của các ứng dụng khai thác tiền điện tử này có thể được truy tìm về Pirate Bay, với những tải lên sớm nhất từ năm 2019. Kết quả là phát hiện ra ba thế hệ của phần mềm độc hại, quan sát lần đầu vào tháng 8 năm 2019, tháng 4 năm 2021 và tháng 10 năm 2021, thể hiện sự tiến hóa của sự tinh vi và tàng hình của chiến dịch.
Một ví dụ về kỹ thuật tránh né là một tập lệnh shell theo dõi danh sách các quy trình đang chạy để kiểm tra sự hiện diện của Trình quản lý Hoạt động, và nếu có, chấm dứt các quá trình đào tiền điện tử.
Quá trình đào tiền điện tử độc hại dựa trên việc người dùng khởi động ứng dụng đã được sao chép, khi đó mã được nhúng trong tập tin thực thi sẽ kết nối đến một máy chủ được điều khiển bởi tác giả thông qua i2p để tải xuống thành phần XMRig.
Khả năng bay qua tầm ngắm của phần mềm độc hại, kết hợp với việc người dùng chạy phần mềm bản sao không hợp pháp đã khiến vectơ phân phối trở thành một công cụ hiệu quả trong nhiều năm.
Tuy nhiên, Apple đã đưa ra các biện pháp để chống lại sự lạm dụng này bằng cách tiến hành kiểm tra cổng Gatekeeper nghiêm ngặt hơn đối với các ứng dụng đã được ký hiệu trong macOS Ventura, từ đó ngăn chặn các ứng dụng bị chỉnh sửa khỏi được khởi động.
“Tuy nhiên, macOS Ventura không ngăn chặn được quá trình khai thác,” các nhà nghiên cứu của Jamf lưu ý. “Khi người dùng nhận được thông báo lỗi, phần mềm độc hại đã được cài đặt.”
“Đó đã ngăn chặn phiên bản đã được chỉnh sửa của Final Cut Pro khởi động, điều này có thể gây nghi ngờ cho người dùng và giảm đáng kể khả năng khởi động tiếp theo bởi người dùng.”