盜版Mac剪輯軟體Final Cut Pro內含惡意挖礦程式
當用戶嘗試從非官方授權管道,下載盜版剪輯軟體Final Cut Pro時,就可能下載到遭加料的軟體版本,一旦用戶點擊盜版Final Cut Pro的圖標時,木馬可執行檔案便會立刻啟動,開始利用受害者電腦替駭客挖礦。
盜版Final Cut Pro中附帶的挖礦軟體是一個稱為XMRig的命令列加密貨幣挖礦工具,研究人員提到,XMRig通常被用於合法的目的,但是由於XMRig為開源程式,因此也常被駭客用於改造成惡意工具。
而Jamf發現盜版的Final Cut Pro經過非Apple官方的修改,會在後臺執行XMRig。該惡意挖礦軟體使用i2p(Invisible Internet Project)進行通訊,而i2p是一個相當於Tor的私人網路層,能夠匿名流量,該惡意挖礦軟體便會透過i2p下載惡意元件,並且將獲得的加密貨幣發送到駭客的錢包。
研究人員到BitTorrent種子分享網站海盜灣鏡像站點,搜尋到了帶有惡意挖礦軟體的Final Cut Pro檔案,追溯種子發布的用戶,該用戶早從2019年開始就上傳一系列帶有惡意挖礦程式的軟體種子。研究人員提到,雖然之前資安公司趨勢科技的安全報告,也指出Mac上的Adobe Photoshop CC 2019有非常類似的情況,但是讓人好奇的是,為什麼這個惡意軟體家族能夠規避偵測,甚至連Mac上的的活動監視器(Activity Monitor)都看不到。
研究人員發現惡意挖礦軟體的部分版本帶有一段腳本,該腳本是一個持續的迴圈,每三秒鐘會檢查活動監視器的狀態,當惡意軟體發現了活動監視器,便會立刻終止所有惡意程序,因此即便是受害者觀察到Mac在未使用情況仍在發熱,但是卻從活動監視器中看不出所以然,惡意挖礦軟體會在用戶下一次開啟應用程式時,才又再次運作。
另外,在更新版本的惡意挖礦軟體腳本中,駭客使用內建bash指令exec啟動惡意挖礦程序,並在指令上帶入-a旗標對該程序應用自定義名稱,以mdworker_local或是mdworker_shared假程序名以假亂真,規避用戶注意。
雖然Apple在macOS Ventura強化了GateKeeper對程式碼簽章的檢查,而GateKeeper確實也能夠阻擋盜版Final Cut Pro的運作,但是與此同時,後臺惡意挖礦軟體卻能正常運作。Apple目前已經更新Mac上的防毒程式XProtect,以可偵測到Jamf報告中的惡意挖礦軟體變體,並且避免這些惡意軟體繞過GateKeeper的檢查。
Jamf起初發現這個惡意挖礦程式時,在VirusTotal上並沒有被其他資安廠商偵測到,一直到2023年1月少數廠商才開始偵測到該惡意軟體,過去macOS上最常見的惡意軟體類型是廣告軟體,但Jamf提到,最近挖礦劫持越來越普遍,可能是因為挖礦需要大量的運算能力,Mac上採用更強大的Apple自家設計晶片,使其成為挖礦劫持有吸引力的目標。
