28 Февраля 2023 09:02 28 Фев 2023 09:02 |

Поделиться

Пиратский Photoshop тайно устанавливает на макбуки криптомайнеры

Видеоредактор с начинкой

Эксперты компании Jamf Threat Labs выявили сразу несколько троянизированных вариантов популярных и легитимных (почти) приложений, которые устанавливают на системы под управлением macOS криминальные криптомайнеры. Речь идет, естественно, о пиратских версиях.

В частности, обнаружилась несанкционированная модификация популярного видеоредактора Final Cut Pro, содержащая майнер XMRig.

По словам исследователей, она использует проект Invisible Internet Project (i2p) для скачивания вредоносных компонентов и переправки сгенерированной криптовалюты в кошелек злоумышленника.

Годом ранее предыдущую итерацию этой кампании задокументировала фирма Trend Micro. Как отмечали тогда эксперты по информационной защите, вредоносная программа также использовала i2p для сокрытия сетевого трафика. Наиболее вероятным источником был назван DMG-файл Adobe Photoshop CC 2019. Сотрудникам Trend Micro не удалось найти сам DMG-файл.

В публикации Jamf указывается, что в попытках найти источник угрозы эксперты компании проверили одно из зеркал PirateBay с торрентами пиратских версий Final Cut Pro.

«Мы скачали самый свежий торрент с наибольшим количеством сидеров и проверили хэш главного исполняемого файла приложения. Он полностью совпал с зараженной версией Final Cut Pro, которую мы обнаружили ранее», — указывается в публикации. Под сидерами подразумеваются поставщики файлообмена.

По данным экспертов, источником торрента был пользователь, который на протяжении многих лет загружал на Pirate Bay взломанные приложения под macOS. Многие из них оказались в числе наиболее часто скачиваемых пиратских версий программ.

Мало того, тот же пользователь был и источником вредоносных компонентов. С 2019 г. он снабжал криптомайнерами практически все свои торренты.

Это позволило экспертам заодно проанализировать эволюцию вредоносов. Если прежние версии обнаруживались защитными инструментами, то последний вариант, которым был снабжен Final Cut Pro, от проверки антивирусами ускользал. Это было связано с тем, что злоумышленники начали в определенный момент использовать методы обфускации и обеспечения скрытности.

В частности, вредонос использует shell-скрипт, который мониторит список запущенных процессов, проверяет его на присутствие монитора активности Apple (Activity Monitor), и если видит таковой, прекращает генерацию криптовалют.

Монитор активности — это первая программа, которую пользователь macOS будет запускать при обнаружении факта того, что нагрузка на процессор и систему охлаждения выше ожидаемого. Но в данном случае обнаружить виновника таким образом не получится.

Как майнер попадает в систему

Непосредственно в исполняемый файл пиратских программ встроен код, который после запуска пользователем скачивает с удаленного сервера через i2p компонент майнера.

Подобный вектор был достаточно эффективным на протяжении определенного времени, однако с некоторых пор в macOS Ventura реализованы механизмы дополнительной проверки и блокировки скомпрометированных приложений.

При этом, как отметили в Jamf, блокируя запуск пиратской версии Final Cut Pro, macOS Ventura почему-то допускает установку самого майнера.

Эксперты Jamf отмечают, что системы проверки приложений Ventura срабатывают на программы самой Apple (такие как Logic Pro и Final Cut Pro), но пока пиратские версии Photoshop спокойно устанавливаются — со всей вредоносной начинкой.

«Пиратское ПО можно пытаться устанавливать и использовать только сознательно, с полным принятием вероятных последствий, — отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — То, что вместе с пиратскими программами распространяются вредоносы, не новость. Киберзлоумышленники уже много лет практикуют подобное. В данном случае интересны технические аспекты и ОС, которую злоумышленники избрали для атак. Но в целом не пользоваться взломанным ПО — азбука информационной безопасности, не говоря уж о правовых аспектах».

Роман Георгиев

Поделиться

Короткая ссылка