Jamf 的威胁实验室团队发现了一个新的 Mac 恶意软件系列,该恶意软件通过盗版的 Final Cut Pro、Photoshop 和其他主要创意应用程序传播。
新的 XMRig 威胁是一种微妙的加密货币挖掘攻击,已逃避检测数月之久。
盗版是恶业,但加密是好事
XMRig 通过将自己附加到创意应用程序的盗版副本上而激增,包括 Final Cut Pro、Logic Pro X 和 Adobe Photoshop 的版本。 这就是您经常发现分布在点对点网络中的那种“山寨版”Mac 应用程序。
[如何保护 Windows 10 和 11 PC 免受勒索软件侵害]
安装后,该恶意软件会使用受感染的 Mac 秘密挖掘加密货币。 该恶意软件还经过智能设计以逃避检测——当用户打开活动监视器以查看其 Mac 上是否有问题时,它会立即停止活动以避免被发现。
“广告软件历来是最普遍的 macOS 恶意软件类型,但加密劫持这种隐蔽的大规模加密挖掘方案正变得越来越普遍,”Jamf 在今天解释此次攻击的详尽报告中警告说。
在这种情况下,研究人员能够识别分发文件的海盗湾账户。 他们发现,特定用户共享的几乎每个盗版应用程序都托管了加密挖掘恶意软件。
追着钱追加工商
研究人员推测,此类攻击可能会变得更加普遍,部分原因是苹果公司成功制造了计算能力强大的 Apple Silicon 芯片。 这可能会使 Mac 成为加密挖矿恶意软件更具吸引力的目标。 (当然,该平台对攻击者更具吸引力。)
值得注意的是,Jamf Protect 已经检测并阻止了该恶意软件系列的所有已知版本,如果 Gatekeeper 在任何受管设备上被禁用,它还会通知管理员。
什么是 XMRig?
XMRig具有以下特点:
它不使用 Tor,而是使用 Invisible Internet Project (i2P) 通信协议进行通信、下载恶意软件并将开采的货币发送到攻击者的钱包。
尽管已检测到恶意软件系列,但该攻击设法逃避了 VirusTotal 的检测。
该攻击还试图诱骗下载了受恶意软件感染的应用程序的用户,让他们完全禁用 Apple 的 Gatekeeper 保护以使应用程序运行。
Jamf Threat Labs 设法追踪到这种特定恶意软件的三代,该恶意软件于 2019 年 8 月左右首次出现。
每一代人都看到攻击变得更难发现。 在那次旅程结束时,攻击者变得足够老练,以至于在 macOS 应用程序更新后仅 24 小时内,上传的内容就会出现在海盗湾上,并设法将恶意进程伪装成系统进程。
责备文化、Ventura 和应用程序设计
这有一个心理因素。 由于将盗版应用程序下载到工作机器而硬件受到感染的员工知道他们的行为是非法的,并且不太愿意警告 IT 恶意软件可能已进入系统。
(这实际上是围绕安全培养无责备文化的另一个很好的理由,以促进更快地揭示漏洞)。
安全是一场持久战。
Apple 表示,它会继续更新其 XProtect 系统以阻止这个特定的恶意软件系列,并强调这种攻击不会绕过 Gatekeeper 保护。
在这种情况下,Apple 最近对 macOS Ventura 进行了重大改进,使该恶意软件的生存更加艰难。 Ventura 更严格的安全检查确认所有经过公证的应用程序均已正确签名并且未被未经授权的进程修改,即使在首次启动后也是如此。 与 Apple 的 Gatekeeper 保护过去仅在首次启动时检查文件时的行为相比,这是一个很大的改进。
然而,Jamf 发现挖掘代码仍会执行,即使原始主机应用程序不会执行。 研究人员发现被黑客入侵的 Photoshop 副本仍未受到保护,推测这是由于应用程序中的可执行文件在启动时的工作方式不同所致。
但底线是:不要使用从 Pirate Bay 偷来的软件。
养成更好的安全习惯
Jamf 继续超越其 MDM 根基,包括提供超安全的分布式企业解决方案,2022 年对 ZecOps 的收购就是明证。
该公司的威胁安全团队继续在 Apple 平台上建立安全监管的良好声誉。 但我从不同团队读到的几乎每一份安全研究报告中的重大揭示都是一样的:人为错误是最终的攻击媒介。
无论是网络钓鱼、网络钓鱼、黑客攻击还是蜜罐攻击,最终用户的错误决策都是让 IT 彻夜难眠的威胁。
一次又一次,它归结为简单的事情,比如提醒用户不要点击他们不希望收到的链接,永远不要安装盗版软件,永远使用复杂的密码,永远不要在公共场合发送任何类型的机密帐户登录信息 无线上网。
Apple 始终强调 Mac App Store 是获取 Mac 软件的最安全的地方。 该公司还拥有行业领先的系统来帮助保护选择在 App Store 之外下载的 Mac 用户,包括 Apple 公证服务和 XProtect。
诸如此类的简单步骤对降低攻击成功的机会具有巨大影响。
