セキュリティ研究者は、ウイルス対策エンジンによってほとんど検出されない悪意のあるバージョンの Final Cut Pro を使用して、macOS を標的とするクリプトマイニング操作を発見しました。
彼らは、悪意のある亜種が torrent を介して配布され、Monero 暗号通貨をマイニングする XMRig ユーティリティを実行したことを発見しました。
macOS の脅威の進化
Jamf Threat Labs チームは、この特定の macOS の脅威を発見し、 wtfisthat34698409672という名前のユーザーによって The Pirate Bay で共有された悪意のある torrent まで追跡しました。
ユーザーは 2019 年以降、Adobe Photoshop や Logic Pro X などの他の macOS アプリをアップロードしていたようで、そのすべてに暗号通貨マイニングのペイロードが含まれていました。
より深い分析により、研究者は、マルウェアが 3 つの主要な開発段階を経て、そのたびにより複雑な回避技術を追加したという結論に達しました。
特に、今日のセキュリティ ツールは一貫して、2021 年 4 月に拡散を停止した第 1 世代の脅威のみを検出します。
第 1 世代から、マルウェアはトラフィックを匿名化するコマンド アンド コントロール (C2) 通信に i2p (Invisible Internet Project) ネットワーク層を使用していました。この機能は、マルウェアのすべてのバージョンで持続します。
第 2 世代のマルウェアは、2021 年 4 月から 2021 年 10 月の間に比較的短期間出現し、アプリ バンドルに隠された実行可能ファイルの base 64 エンコーディングを特徴としていました。
2021 年 10 月に現世代の第 3 世代が登場しました。2022 年 5 月以降、実際に拡散された唯一の亜種になりました。この亜種の新機能は、悪意のあるプロセスを Spotlight 上のシステム プロセスに偽装して検出を回避できることです。
さらに、最新バージョンにはアクティビティモニターを常にチェックするスクリプトが組み込まれており、起動するとすべてのプロセスを即座に終了して、ユーザーの検査から隠されます。
ベンチュラとその先の道
「Ventura」というコードネームが付けられた最新バージョンの macOS では、より厳格なコード署名チェックが導入されており、ユーザーが起動したアプリ、特に海賊版アプリ内からマルウェアを隠したり起動したりすることを無効にする恐れがあります。
この場合、海賊は Final Cut Pro を部分的に変更しただけで、元のコード署名証明書はそのまま残しています。ただし、Ventura はソフトウェア コンテンツの変更を検出したため、無効にしました。
ただし、これは暗号通貨マイナーではなく、正当なアプリケーションの実行を妨げただけなので、Apple の新しいセキュリティ システムには、ユーザーを効果的に保護する方法がまだ残っています。
結論として、ピア ツー ピア ネットワークからの海賊版ソフトウェアのダウンロードを避けることをお勧めします。これは、ほとんどの場合、マルウェアやアドウェアが含まれているためです。
Comments