Logiciel malveillant de cryptominage Mac bien caché trouvé dans des copies pirates de Final Cut Pro; attendre plus [U]

Mise à jour : Apple a maintenant commenté les résultats – voir la fin de l’article.

La société de cybersécurité Jamf Threat Labs a trouvé des logiciels malveillants de cryptominage Mac dans des copies pirates de Final Cut Pro. La firme affirme que le logiciel malveillant de cryptojacking était particulièrement bien caché et non détecté par la plupart des applications de sécurité Mac.

Jamf a également averti que la puissance des Apple Silicon Mac allait en faire des cibles de plus en plus populaires pour le cryptojacking – où les logiciels malveillants utilisent la puissance de traitement considérable de votre machine pour exploiter les crypto-monnaies au profit des attaquants…

Arrière-plan

Alors que les crypto-monnaies comme Bitcoin sont devenues de plus en plus difficiles à exploiter, exigeant des ressources GPU étendues, les mauvais acteurs sont de plus en plus incités à utiliser des techniques de cryptojacking. C’est là qu’ils introduisent des logiciels malveillants sur un nombre important d’appareils d’autres personnes afin d’extraire de l’argent pour eux en tant que processus d’arrière-plan.

Il n’est pas surprenant que les logiciels pirates contiennent fréquemment des logiciels malveillants, et le cryptojacking en est l’un des exemples les plus courants. C’est une préoccupation importante, car le logiciel malveillant utilisera une grande partie des ressources de votre appareil, laissant moins de puissance pour exécuter vos propres applications.

Habituellement, les logiciels de sécurité Mac détectent ce type de malware.

Logiciel malveillant de cryptominage Mac bien caché

Cependant, Jamf Threat Labs a trouvé un exemple de logiciel malveillant de cryptominage Mac qui a réussi à échapper à la détection – initialement par toutes les applications de sécurité Mac.

Au cours des derniers mois, Jamf Threat Labs a suivi une famille de logiciels malveillants qui ont refait surface et ont fonctionné sans être détectés, bien qu’une itération antérieure soit connue de la communauté de la sécurité.

Lors de la surveillance de routine de nos détections de menaces observées dans la nature, nous avons rencontré une alerte indiquant l’utilisation de XMRig, un outil de crypto-extraction en ligne de commande. Alors que XMRig est couramment utilisé à des fins légitimes, sa conception adaptable et open source en a également fait un choix populaire pour les acteurs malveillants.

Cette instance particulière nous intéressait car elle s’exécutait sous le couvert du logiciel de montage vidéo développé par Apple, Final Cut Pro. Une enquête plus approfondie a révélé qu’il s’agissait d’une version modifiée et malveillante de Final Cut Pro qui exécutait XMRig en arrière-plan.

Au moment de notre découverte, cet exemplaire particulier n’était détecté comme malveillant par aucun fournisseur de sécurité sur VirusTotal. Une poignée de fournisseurs semblaient avoir commencé à détecter le malware depuis janvier 2023, cependant, certaines des applications modifiées de manière malveillante continuent de ne pas être identifiées.

Source était un téléchargeur bien connu de Pirate Bay, dont les applications piratées incluent Photoshop, Logic Pro et Final Cut Pro.

Les manières intelligentes dont se cache le malware

La méthode utilisée pour cacher le malware à la détection est quelque peu compliquée – et Jamf a déclaré qu’elle était bien mieux déguisée que les deux premières générations.

La première génération utilisait une API pour obtenir les privilèges nécessaires à l’installation d’un démon de lancement. Cependant, cela nécessitait une confirmation du mot de passe de l’utilisateur, ce qui était plutôt un cadeau. La deuxième génération est passée à un agent de lancement, qui supprimait l’exigence de mot de passe, mais ne s’exécutait que lorsque l’utilisateur ouvrait l’application. La troisième génération était celle où le malware est devenu vraiment sournois.

Lorsque l’utilisateur double-clique sur l’icône de Final Cut Pro, l’exécutable trojanisé s’exécute, lançant les appels du shell pour orchestrer la configuration du logiciel malveillant. Le même exécutable contient deux gros blobs base64 qui sont décodés via des appels shell. Le décodage de ces deux blobs donne deux archives tar correspondantes.

L’un contient une copie de travail de Final Cut Pro. L’autre blob encodé en base64 décode en un exécutable personnalisé chargé de gérer le trafic i2p chiffré [ip2 is an alternative to TOR]. Une fois que les données intégrées ont été décodées à partir de base64 et désarchivées, les composants résultants sont écrits dans le répertoire /private/tmp/ en tant que fichiers cachés.

Après avoir exécuté l’exécutable 12p, le script de configuration utilise curl over i2p pour se connecter au serveur Web de l’auteur malveillant et télécharger les composants de ligne de commande XMRig qui effectuent l’extraction secrète. La version de Final Cut Pro qui est lancée et présentée à l’utilisateur est appelée à partir de ce répertoire et éventuellement supprimée du disque.

Se cache également du moniteur d’activité

Le logiciel malveillant a également des moyens astucieux de se cacher si un utilisateur se méfie du fonctionnement lent de sa machine et d’ouvrir Activity Monitor pour vérifier les processus en cours d’exécution.

Le script exécute une boucle continue qui vérifie la liste des processus en cours d’exécution toutes les 3 secondes, à la recherche du moniteur d’activité. S’il trouve le moniteur d’activité, il met immédiatement fin à tous ses processus malveillants.

De plus, les processus malveillants sont renommés en processus légitimes utilisés par Spotlight, donc même si l’utilisateur remarquait leur brève apparition, cela ne déclencherait aucun signal d’alarme.

Le logiciel malveillant est ensuite relancé la prochaine fois que l’utilisateur ouvre l’application compromise.

Les contrôles continus de Ventura aident parfois

Avec macOS Ventura, Apple a considérablement augmenté la protection contre les logiciels malveillants. À l’origine, Gatekeeper ne vérifiait les applications que lors de leur première ouverture. S’ils réussissaient ce contrôle, ils étaient marqués comme sûrs.

Dans Ventura, Gatekeeper vérifie que les applications n’ont pas été modifiées lors de leur ouverture ultérieure. Dans certains cas, cela se traduit par un message d’erreur, vous indiquant que l’application est endommagée et ne peut pas être ouverte. Cependant, à ce stade, le logiciel malveillant a déjà été installé.

De plus, Jamf a trouvé au moins un cas où une version compromise de Photoshop passe toujours avec succès la vérification Gatekeeper.

Comme on pouvait s’y attendre, compte tenu du travail de la firme, toutes les versions connues de cette famille de malwares sont détectées et bloquées par Jamf Protect Threat Prevention.

Attendez-vous à plus de logiciels malveillants Mac

Jamf prévient que la puissance des Mac de la série M en fait des cibles extrêmement attrayantes pour les attaques de cryprojacking, et que nous pouvons donc nous attendre à beaucoup plus de logiciels malveillants Mac que nous n’en avons vus par le passé.

Pas plus tard qu’hier, Malwarebytes a publié son rapport 2023 sur l’état des logiciels malveillants, qui comprenait des pointeurs vers les logiciels malveillants Mac les plus courants.

Apple a maintenant commenté la recherche, nous disant :

Nous continuons à mettre à jour XProtect pour bloquer ce malware, y compris les variantes spécifiques citées dans les recherches de JAMF. De plus, cette famille de logiciels malveillants ne contourne pas les protections Gatekeeper.

Le Mac App Store est l’endroit le plus sûr pour obtenir des logiciels pour Mac. Pour les logiciels téléchargés en dehors du Mac App Store, Apple utilise des mécanismes techniques de pointe, tels que le service de notaire Apple et XProtect, pour protéger les utilisateurs en détectant les logiciels malveillants et en les bloquant afin qu’ils ne puissent pas s’exécuter.

Photo : Mark Cruz/Unsplash