Вредоносное ПО для криптоджекинга, нацеленное на macOS, скрывается в пиратских приложениях

security IOC

В течение последних нескольких месяцев Jamf Threat Labs следила за семейством вредоносных программ, которые вновь появились и работали незамеченными, несмотря на то, что более ранняя итерация была известна сообществу безопасности.

Во время рутинного мониторинга обнаружения угроз в дикой природе Jamf Threat Labs столкнулись с предупреждением об использовании XMRig - инструмента криптодобычи с командной строкой. Хотя XMRig обычно используется в законных целях, его адаптируемый дизайн с открытым исходным кодом также сделал его популярным выбором для злоумышленников. Этот конкретный случай заинтересовал тем, что он был выполнен под видом программы для редактирования видео Final Cut Pro, разработанной компанией Apple. Дальнейшее расследование показало, что эта вредоносная версия Final Cut Pro содержала модификацию, несанкционированную Apple, которая выполняла XMRig в фоновом режиме. На момент нашего обнаружения этот конкретный образец не был признан вредоносным ни одним из поставщиков услуг безопасности на VirusTotal. С января 2023 года вредоносное ПО было обнаружено несколькими поставщиками. Однако многие вредоносные приложения по-прежнему остаются неопознанными большинством поставщиков.

Рекламное ПО традиционно является наиболее распространенным видом вредоносного ПО для macOS, однако криптоджекинг, скрытая и масштабная схема криптодобычи, становится все более распространенной. Учитывая, что криптодобыча требует значительных вычислительных мощностей, вполне вероятно, что постоянное совершенствование процессоров Apple ARM сделает устройства macOS еще более привлекательными для криптоджекинга. Хотя криптоджекинг сам по себе не является новой концепцией, этот конкретный вариант использует несколько новых тактик.

Вредоносная программа использует для связи проект Invisible Internet Project (i2p). i2p - это уровень частной сети, который анонимизирует трафик, что делает его менее заметной альтернативой Tor. Эта вредоносная программа использует i2p для загрузки вредоносных компонентов и отправки добытой валюты на кошелек злоумышленника.

В ходе поиска других примеров вредоносного ПО, использующего маршрутизацию i2p, Jamf Threat Labs обнаружили, что методы этого образца похожи на те, о которых Trend Micro сообщала в феврале 2022 года. Несмотря на сходство, все еще оставались несоответствия и вопросы без ответов, например, почему этот конкретный образец не был обнаружен всеми поставщиками на VirusTotal, хотя семейство вредоносных программ уже было задокументировано.

В своем отчете компания Trend Micro предположила, что образец Mach-O мог попасть в DMG-пакет для Adobe Photoshop CC 2019. Однако им не удалось найти сам DMG. Учитывая, что мы наблюдали очень похожий сценарий с Final Cut Pro, мы также хотели определить, откуда пришло это вредоносное ПО.

В попытке определить источник вредоносной программы мы обратились к зеркалу Pirate Bay и поискали торренты Final Cut Pro. Jamf Threat Labs загрузили самый последний торрент с наибольшим количеством скачиваний и проверили хэш исполняемого файла приложения. Он совпал с хэшем зараженного Final Cut Pro, который Jamf Threat Labs обнаружили в дикой природе.

Indicators of Compromise

SHA1

  • 048a93a696f1bf0bdf6f6e3506d65d21a4a9f681
  • 05b7e1864b7b570a339c8072830cdd9bcbf21d1a
  • 0cc8e03a08baa73379ac6c55cbb18fa78b87923d
  • 0e73071ceb9d2481361777b33b8443ec0acb0793
  • 11e4f795551e6db0fe9a9c52eec35f134b089478
  • 11ee7a59ecd287628ff251b435777f6d4429e40c
  • 140790186d0c60a604c5dd9f9d2c8dbc500da1c9
  • 163d9ce53deadd54ad50d7d0120b5db550724689
  • 278290e9b2517fa208bb019a0dc53a5a78995d84
  • 2ae591a3e14d77a9bc077fe61712c6b77f71fc11
  • 2b28169bdaee62eaaec708a9fa245b1c1e6c0e29
  • 2defaf34319b6255db45c8bebf55d5095a41bed8
  • 325a470ec2ee3319f996723496689d052f3c3b47
  • 33d79b8ee94f7bd0a542863cd5a8926d8e0263d9
  • 3a714063188b24f0392c163d7910be00216a5f04
  • 3ab040271882eb6c3a028498c7469450610ef7b8
  • 4f0ba59e2ee80ff854bca33944f825d4c8cfe23e
  • 53bea5f857571d73b7b4a1f6db1edd340d453bca
  • 53fd50b23372a73e74e7cdc370f51ac560a1130f
  • 5aae6e00b3ab0b32a8c75a2952674d7665b3f705
  • 5b304a1da9f56e8ffdfb68940fdd0bc2887d2eb9
  • 5e4792e459f1107cf83ce3293141f9ba3026b015
  • 5eb0e95aa6cc68ec05103561b02d38d4f69e4980
  • 62ed66c1835ef5558ce713467f837efde508d5e4
  • 638ef84a29c747419027c306833d6420d351b244
  • 687ec2b7d79ed6f953c7f519044b7117d12bdafa
  • 68f4979c04b4753a9f275f29c00d4b260f4c2ec0
  • 699da2b8d35f344121d93a74adf89349d3c8d922
  • 69fd812cf3760dc3dff5d41972cc635de9a0844d
  • 6b987ffc3fd6a2bcfb931426be4118cd943737da
  • 6ee76d296abf8da0f98d23f545ba4aa7c69e8211
  • 7312b319b84be6bde845b10ea61619c33473f784
  • 7628d90cfd311bfd4997729a232ca77a6d443619
  • 7da20852d79f7443b88449e8ed18e092c2aaa3bb
  • 80f2682d60303ea9098444a35cb35e697ae18187
  • 828fb69b80e60de6f6206fd63b496cc0923082f4
  • 8701f8b0aeb2c66298eb1b4297d98664f8c1f1b9
  • 8907721154fc4079f9fc68e58c0ca742ffc1c9af
  • 89f2bb7f96317837514bbae70d47ac1e00626ac1
  • 8e4dff96e1740764d60fbff8cfae8c673f1a7a3f
  • 8ed83d6593bb0c7404f4571c91a4a80022088922
  • 901a08aa9996fa95e4a844c24eb7b81da0b52923
  • 90835a1173e9ed414e8240d0e14acb13f73f642f
  • 95f71894eec20f9727ff1311ad078de38ae4e774
  • 96667da937efd370197fd94cc9a80b4fb3e8c153
  • 97fbb98f1ecbb2533204eca2967cf4117e388f22
  • 9e04ca30e6ae20e8d2bbf2772a93145bd4b5b8c6
  • 9e387d79fd6412715a5a4bca02b7e27a08299c4b
  • a605e20250e66726a58699a2ae4f7264c8c2e4e2
  • a72b548ca570d8c74ed4c465716c4e37328f9bc1
  • b48927641b53e363d7183fe7faaaa7be8b01cec9
  • b5dd15e765ed5839a7d2c16c50e6cf3334c4b894
  • bce251548798f159e99e71e68b65bbb4a9607296
  • be30f974111ad50312f654db9e040c6ab99d054c
  • bebe1ad82d595434c6ef529cb4f75f4937a04e5f
  • c10079ed5885c64c0da6302bc91adf5b293aef4c
  • c19e78df3b3462064b9d78bc138674a7e8df28c7
  • c222fe1be761f05c665c40c14781e40f97460569
  • c3d062bc3fa3b4ecfc68e69a7dc26d9e0ac56538
  • c56046c322316233d23db034670496756a6942fe
  • c5b34662f22f35f3995144b24015309bbe318cd9
  • c64c21d2e08cb8a28e31c4d883a1e75fd1c7851b
  • c8d230830d0912236c48c31ad11b93707088ce9f
  • cc9afb9efea37aee31cd74fb064de4b732fb84b3
  • cea42a9b59cfa262453b508ea21d96f87bb793da
  • cedd8f8ae61dc47130c34b39d9795083cc90ac1f
  • cf685bb0fe5e078ea28a25a7cf8774b168787db4
  • d4d1c97c5803162e452c79811d61e1487c9cfe62
  • d510b4c602404767f9ef75f5a48017d2b3743c4c
  • d86695fb9e56e03253503781f42f1069a5cc10d1
  • dfcf0b6af4593f32060176768164702f45cb556b
  • e857a9c520402ccc6abe3244c1e93ac9e2a6ac3d
  • e99f8ec210b26270894f16fe9c43f1203c13fb32
  • eb3a1808bd24026314bec69caadbc882f1976982
  • ebd417f4ab9e7bb6deaacab9de1611df67908317
  • ecffd9553c67478a55f7303f6cadf356101f9216
  • f35bddfbb82ae1b137cbd454bc18f2b859cc5882
  • f6348b7b79e48b5d2c13b8aa560c795d7a2c21d8
  • fbdf0af70f95d3c87cf8bcacc2d6673d9ccd4620
SEC-1275-1
Добавить комментарий