资安公司 Jamf Threat Labs 最近发现了一种潜藏在盗版 Final Cut Pro 软件中的 Mac 加密货币挖矿恶意软件。对此挖矿病毒大部分的苹果 Mac 安全应用程序都未侦测到,且在病毒被找到时,病毒分析服务 VirusTotal 也没有侦测其是有害的。
过去盗版软件经常含病毒,而其中挖矿恶意软件就是最为常见。研究人员已经发现,此 Mac 挖矿病毒自 2019 年以来不断演进,其与一年前趋势科技发现的另一个病毒样本相似。由于 Mac 的运算能力随苹果自研芯片增加,此种恶意软件在未来预计将更加普遍。
Jamf 是在例行资安监控作业中,收到了 XMRig 的使用警报,这是一种用于挖矿的命令行工具,虽然 XMRig 经常应用在好的用途中,但 XMRig 开源和客制化的性质也使其成为不肖人士常选择工具。
挖矿病毒隐藏能力不断进化,更加难以被侦查
此挖矿软件有不同的版本,随版本的演进都变得愈来愈难被侦测到。第一版藉 API 获取所需的特权来安装启动守护行程(Launch Daemon),但这需要用户输入密码也让病毒的存在变得容易发现。第二代则是通过 Launch Agent,虽然少了密码的要求,但也仅在用户打开应用程序时才会运作。
而第三版的恶意软件则变得狡猾。当用户点击 Final Cut Pro 图标时,木马运行档会开始运作,藉调用来安装恶意软件。该运行档包含两个 base64 编码的二进位大型对象,进行解码后会出现两个对应的 tar 压缩文件。
其中一个 tar 压缩档为 Final Cut Pro 副本,而另一个则是负责处理加密 i2p 运行档。在运行 i2p 运行档之后,设置脚本会藉匿名 i2p 网络连接到攻击者的网络服务器,并下载 XMRig 命令行来用于秘密挖矿。
另外,攻击者在使用电脑挖矿时,受害用户会注意到电脑的 CPU 温度比平常高,可能会打开「活动监视器」来确认,这时挖矿病毒会立即停止作业,先隐藏起来直到下一次受害者启动 Final Cut Pro。
macOS Ventura 抵御病毒能力
新操作系统 macOS Ventura 由于具安全保护措施,有机会挡下此挖矿病毒。盗版 Final Cut Pro 将无法在 macOS Ventura 上启动,用户则会收到应用程序错误的消息。
尽管如此,在盗版软件中秘密加入的挖矿程序仍有能力运行,当用户收到显示 Final Cut Pro 损毁且无法打开的错误消息时,恶意软件恐早已被安装了。因此虽然 macOS Ventura 增加了恶意软件的防护机制,但恶意软件仍有可能成功通过检测。
此挖矿病毒的发现指出 Mac 电脑恐需加强安全措施,尤其是在网络罪犯在隐藏恶意软件方面变更加熟练的情况下。Jamf Threat Labs 建议用户仍应仅从信誉良好的来源下载软件,并避免使用盗版软件。
免责声明
本文内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 admin@eiefun.com,我们会第一时间配合删除。