专门提供苹果设备管理方案的Jamf发现macOS出现新的恶意挖矿威胁,当用户尝试从非官方授权渠道,下载盗版剪辑软件Final Cut Pro时,就可能下载到遭加料的软件版本,一旦用户点击盗版Final Cut Pro的图标时,木马可执行文件便会立刻启动,开始利用受害者计算机替黑客挖矿。
盗版Final Cut Pro中附带的挖矿软件是一个称为XMRig的命令行加密货币挖矿工具,研究人员提到,XMRig通常被用于合法的目的,但是由于XMRig为开源程序,因此也常被黑客用于改造成恶意工具。
而Jamf发现盗版的Final Cut Pro经过非Apple官方的修改,会在后台执行XMRig。该恶意挖矿软件使用i2p(Invisible Internet Project)进行通信,而i2p是一个相当于Tor的私人网络层,能够匿名流量,该恶意挖矿软件便会通过i2p下载恶意组件,并且将获得的加密货币发送到黑客的钱包。
研究人员到BitTorrent种子分享网站海盗湾镜像站点,搜索到了带有恶意挖矿软件的Final Cut Pro文件,追溯种子发布的用户,该用户早从2019年开始就上传一系列带有恶意挖矿程序的软件种子。研究人员提到,虽然之前安全公司趋势科技的安全报告,也指出Mac上的Adobe Photoshop CC 2019有非常类似的情况,但是让人好奇的是,为什么这个恶意软件家族能够规避侦测,甚至连Mac上的活动监视器(Activity Monitor)都看不到。
研究人员发现恶意挖矿软件的部分版本带有一段脚本,该脚本是一个持续的循环,每三秒钟会检查活动监视器的状态,当恶意软件发现了活动监视器,便会立刻终止所有恶意程序,因此即便是受害者观察到Mac在未使用情况仍在发热,但是却从活动监视器中看不出所以然,恶意挖矿软件会在用户下一次打开应用程序时,才又再次运行。
另外,在更新版本的恶意挖矿软件脚本中,黑客使用内置bash指令exec启动恶意挖矿程序,并在指令上带入-a旗标对该程序应用自定义名称,以mdworker_local或是mdworker_shared假程序名以假乱真,规避用户注意。
虽然Apple在macOS Ventura强化了GateKeeper对程序代码签章的检查,而GateKeeper确实也能够阻挡盗版Final Cut Pro的运行,但是与此同时,后台恶意挖矿软件却能正常运行。Apple目前已经更新Mac上的杀毒程序XProtect,以可侦测到Jamf报告中的恶意挖矿软件变体,并且避免这些恶意软件绕过GateKeeper的检查。
Jamf起初发现这个恶意挖矿程序时,在VirusTotal上并没有被其他安全厂商侦测到,一直到2023年1月少数厂商才开始侦测到该恶意软件,过去macOS上最常见的恶意软件类型是广告软件,但Jamf提到,最近挖矿劫持越来越普遍,可能是因为挖矿需要大量的运算能力,Mac上采用更强大的Apple自家设计芯片,使其成为挖矿劫持有吸引力的目标。