В піратських копіях Final Cut Pro знайшли вбудовані майнери криптовалют

З часом майнінг криптовалют стає все дорожчим процесом, й деякі зловмисники знаходять способи отримувати «монети» користуючись ресурсами інших людей. Наприклад, «підкладаючи» відповідне ПЗ у піратські версії програм, що дозволяє використовувати чужі ресурси ПК (чи інших пристроїв) для майнінгу. Й цього разу таке відбулося з Final Cut Pro.

Важко знайти людину, яка займається обробкою відео й ніколи не чула про Final Cut Pro. В одній з найпопулярніших програм для нелінійного монтажу від Apple було знайдено «шкідника», який дозволяє майнити в фоні, чудово обходить антивірусну безпеку й ховатися від самого користувача.

Повідомила про це компанія Jamf Threat Labs:

Протягом останніх кількох місяців Jamf Threat Labs стежила за сімейством зловмисного програмного забезпечення, яке знову з’явилося та працювало непоміченим, незважаючи на те, що про попередню ітерацію було відомо спільноті безпеки.

Під час звичайного моніторингу виявлених загроз, про які вже було відомо, ми натрапили на сповіщення, яке вказувало на використання XMRig, інструменту командного рядка для криптомайнінгу. Хоча XMRig зазвичай використовується в законних цілях, його адаптивний дизайн з відкритим кодом також зробив його популярним вибором для зловмисників.

Цей конкретний екземпляр зацікавив нас, оскільки він виконувався під виглядом розробленого Apple програмного забезпечення для редагування відео Final Cut Pro. Подальше розслідування показало, що це була модифікована шкідлива версія Final Cut Pro, яка виконувала XMRig у фоновому режимі.

На момент нашого відкриття цей конкретний зразок не був виявлений як зловмисний жодним постачальником безпеки на VirusTotal. Кілька вендорів, здається, почали виявляти зловмисне програмне забезпечення з січня 2023 року, однак деякі зі зловмисно модифікованих програм досі залишаються неідентифікованими.

А ховався такий «подарунок» у роздачах добре відомого «постачальника» на Pirate Bay, який також пропонує Photoshop та Logic Pro.

Як розповідає Jamf Threat Labs, це вже третя версія такого майнера. Перший отримував необхідні права через Launch Daemon, що вимагало пароль користувача. Другий використовував Launch Agent, але працював лише тоді, коли й інфікована програма. Третій пішов значно далі:

Коли користувач двічі клікає іконку Final Cut Pro, запускається троянізований виконуваний файл, який запускає виклики командного інтерпретатора для організації інсталяції шкідливого програмного забезпечення. В одному виконуваному файлі містяться два великі блоки base64, які розшифровуються за допомогою викликів командного інтерпретатора. Розшифровка обох блоків призводить до створення двох відповідних tar-архівів.

Один з них містить робочу копію Final Cut Pro. Інший блок, закодований у base64, декодується до спеціального виконуваного файлу, відповідального за обробку зашифрованого i2p-трафіку [ip2 — це альтернатива TOR]. Після декодування вбудованих даних з base64 та розархівування, отримані компоненти записуються до каталогу /private/tmp/ як приховані файли.

Після запуску виконуваного файлу 12p скрипт установки використовує curl через i2p для підключення до вебсервера зловмисника і завантаження компонентів командного рядка XMRig, які виконують прихований майнінг. Версія Final Cut Pro, яка запускається і демонструється користувачеві, викликається з цього каталогу і зрештою видаляється з диска.

Також майнер що три секунди перевіряє, чи не запущено Activity Monitor. Як тільки він побачить його запуск, зупиняє всі «протиправні» процеси. Ба більше, він ще й перейменовує процеси в такі, які виконує Spotlight (пошук в macOS), що не має викликати підозр у користувача, якщо він їх побачить. А з наступним запуском інфікованої програми, майнерські справи знову запустяться.

І цей випадок також прокоментувала Apple:

Ми продовжуємо оновлювати XProtect, щоб блокувати це зловмисне програмне забезпечення, включно з конкретними варіантами, зазначеними в дослідженні Jamf. Крім того, це сімейство шкідливих програм не обходить засоби захисту Gatekeeper.

Mac App Store — найбезпечніше місце для отримання програмного забезпечення для Mac. Для програмного забезпечення, завантаженого поза Mac App Store, Apple використовує провідні в галузі технічні механізми, такі як Apple notary serviceта XProtect, щоб захистити користувачів шляхом виявлення зловмисного програмного забезпечення та його блокування.

Захист в macOS Ventura було значно покращено, адже Gatekeeper перевіряє ПЗ не лише при першому запуску, але й після нього. Але вже траплялися версії Photoshop, які обходили й це.

За словами Jamf, подібних випадків варто очікувати все більше, адже продуктивність Mac з Apple Silicon робить ці комп’ютери ласим шматочком для криптомайнерів.