ทีม Threat Labs ของ Jamf ตรวจพบมัลแวร์ Mac ตระกูลใหม่ที่แพร่กระจายผ่าน Final Cut Pro, Photoshop และแอปพลิเคชันสร้างสรรค์หลักอื่นๆ เวอร์ชันที่ถูกแฮ็ก
ภัยคุกคาม XMRig ใหม่เป็นการโจมตีการขุด cryptocurrency ที่ละเอียดอ่อนซึ่งหลบเลี่ยงการตรวจจับเป็นเวลาหลายเดือน
การแฮ็กเป็นกรรมที่ไม่ดี แต่เป็นการเข้ารหัสที่ดี
XMRig มีอยู่มากมายโดยการยึดติดกับสำเนาของแอปพลิเคชันสร้างสรรค์ที่ละเมิดลิขสิทธิ์ รวมถึงเวอร์ชันของ Final Cut Pro, Logic Pro X และ Adobe Photoshop เป็นประเภทของแอปพลิเคชัน Mac "ปลอม" ที่พบเห็นได้ทั่วไปในเครือข่ายเพียร์ทูเพียร์
เมื่อติดตั้งแล้ว มัลแวร์จะแอบขุด cryptocurrency โดยใช้เครื่อง Mac ที่ติดไวรัส มัลแวร์ยังได้รับการออกแบบมาอย่างชาญฉลาดเพื่อหลบเลี่ยงการตรวจจับ: ทันทีที่ผู้ใช้เปิดตัวตรวจสอบกิจกรรมเพื่อดูว่ามีสิ่งผิดปกติเกิดขึ้นกับ Mac หรือไม่ ระบบจะปิดทันทีเพื่อหลบเลี่ยงการตรวจจับ
"แอดแวร์เป็นมัลแวร์ประเภทที่พบได้บ่อยที่สุดบน macOS แต่ cryptojacking ซึ่งเป็นแผนการเข้ารหัสลับขนาดใหญ่แบบเงียบ ๆ กำลังกลายเป็นเรื่องธรรมดามากขึ้นอย่างช้าๆ" Jamf เตือนในรายงานโดยละเอียดในวันนี้เพื่ออธิบายถึงการโจมตี
ในกรณีนี้ นักวิชาการสามารถระบุบัญชี Pirate Bay ที่แจกจ่ายไฟล์ได้ พวกเขาพบว่าแอปที่ถูกแฮ็กเกือบทั้งหมดที่แชร์โดยผู้ใช้รายใดรายหนึ่งกำลังโฮสต์มัลแวร์เข้ารหัสลับ
ติดตามเงินไล่ล่าหม้อแปลง
นักวิชาการคิดว่าการโจมตีดังกล่าวอาจกลายเป็นเรื่องปกติมากขึ้น ส่วนหนึ่งเป็นเพราะความสำเร็จของ Apple ในการสร้างชิป Apple Silicon ที่ทรงพลังในการคำนวณ ซึ่งอาจทำให้ Mac เป็นเป้าหมายที่น่าดึงดูดยิ่งขึ้นสำหรับมัลแวร์เข้ารหัสลับ (เป็นความจริงที่แพลตฟอร์มนี้ดึงดูดผู้โจมตีมากขึ้น)
ควรสังเกตว่าเวอร์ชันที่รู้จักทั้งหมดของตระกูลมัลแวร์นี้ได้รับการตรวจพบและบล็อกโดย Jamf Protect ซึ่งจะแจ้งเตือนผู้ดูแลระบบหากปิดใช้งาน Gatekeeper บนอุปกรณ์ที่มีการจัดการแต่ละเครื่อง
XMRig คืออะไร?
XMRig มีคุณสมบัติดังต่อไปนี้:
- บนไซต์ Tor ใช้โปรโตคอลการสื่อสาร Invisible Internet Project (i2P) เพื่อสื่อสาร ดาวน์โหลดมัลแวร์ และส่งสกุลเงินที่ขุดได้ไปยังกระเป๋าเงินของผู้โจมตี
- การโจมตีสามารถหลบเลี่ยงการตรวจจับบน VirusTotal แม้ว่าตระกูลมัลแวร์จะได้รับการเตือนก็ตาม
- การโจมตียังพยายามหลอกลวงผู้ใช้ที่ดาวน์โหลดแอปที่มีมัลแวร์ให้ปิดใช้งานการป้องกัน Gatekeeper ของ Apple โดยสมบูรณ์เพื่อเรียกใช้แอป
Jamf Threat Labs สามารถติดตามมัลแวร์ชนิดนี้ได้ถึง 3 รุ่น ซึ่งปรากฏตัวครั้งแรกประมาณเดือนสิงหาคม XNUMX
แต่ละรุ่นได้เห็นการโจมตีที่ยากขึ้น เมื่อสิ้นสุดเส้นทางนี้ ผู้โจมตีมีความซับซ้อนมากพอที่การดาวน์โหลดจะปรากฏใน Pirate Bay ในเวลาเพียง XNUMX ชั่วโมงหลังจากอัปเดตแอปพลิเคชัน macOS และสามารถจัดการเพื่อปลอมแปลงกระบวนการที่เป็นอันตรายว่าเป็นกระบวนการของระบบ
วัฒนธรรมความผิด Ventura และการออกแบบแอพ
มีปัจจัยทางจิตวิทยาในเรื่องนี้ พนักงานที่ฮาร์ดแวร์ติดไวรัสจากการดาวน์โหลดแอปพลิเคชันละเมิดลิขสิทธิ์บนเครื่องที่ทำงาน รู้ว่าพวกเขาได้กระทำการอย่างผิดกฎหมาย และมีโอกาสน้อยที่จะแจ้งเตือนฝ่าย IT ว่าอาจมีมัลแวร์เข้าสู่ระบบ
(อันที่จริง นี่เป็นอีกเหตุผลหนึ่งที่ดีในการส่งเสริมวัฒนธรรมการรักษาความปลอดภัยที่ไร้ตำหนิเพื่อขับเคลื่อนการเปิดเผยช่องโหว่ให้เร็วขึ้น)
ความปลอดภัยคือการต่อสู้ที่ไม่มีวันสิ้นสุด ในกรณีเช่นนี้ Apple ได้ทำการปรับปรุงที่จำเป็นสำหรับ macOS Ventura ซึ่งทำให้ชีวิตยากขึ้นสำหรับมัลแวร์นี้ การควบคุมความปลอดภัยที่เข้มงวดที่สุดของ Ventura ยืนยันว่าแอปพลิเคชันที่ได้รับการรับรองแต่ละรายการได้รับการลงนามอย่างถูกต้องและไม่ถูกเปลี่ยนแปลงโดยกระบวนการที่ไม่ได้รับอนุญาต แม้ว่าจะเปิดตัวครั้งแรกก็ตาม นี่เป็นการปรับปรุงครั้งใหญ่สำหรับการป้องกัน Gatekeeper ของ Apple เมื่อตรวจสอบเพียงไฟล์เดียวในการเปิดใช้งานครั้งแรก
อย่างไรก็ตาม Jamf พบว่ารหัสการขุดยังคงทำงานอยู่ แม้ว่าแอปพลิเคชันโฮสต์ดั้งเดิมจะไม่ทำงานก็ตาม นักวิจัยพบว่าสำเนา Photoshop ที่ละเมิดลิขสิทธิ์ยังคงไม่มีใครดูแล โดยคาดเดาว่านี่เป็นเพราะความแตกต่างในวิธีเปิดโปรแกรมปฏิบัติการของแอปพลิเคชันเมื่อเริ่มต้น
แต่สิ่งสำคัญ: อย่าใช้ซอฟต์แวร์ที่ขโมยมาจาก Pirate Bay
พัฒนานิสัยความปลอดภัยที่ดีขึ้น
Jamf ขยายต่อไปนอกเหนือจากรากฐานของ MDM เพื่อครอบคลุมการส่งมอบโซลูชันระดับองค์กรแบบกระจายที่มีความปลอดภัยสูง ซึ่งเห็นได้จากการเข้าซื้อกิจการของ ZecOps ในปี XNUMX
ทีมรักษาความปลอดภัยด้านภัยคุกคามของบริษัทยังคงสร้างชื่อเสียงที่แข็งแกร่งในด้านการรักษาความปลอดภัยบนแพลตฟอร์มของ Apple แต่ประเด็นสำคัญในรายงานการวิจัยด้านความปลอดภัยเกือบทุกฉบับที่ฉันได้อ่านจากหลายทีมยังคงเหมือนเดิม: ข้อผิดพลาดของมนุษย์คือเวกเตอร์การโจมตีอันดับหนึ่ง
ไม่สำคัญว่ามันจะเป็นการโจมตีแบบฟิชชิง phreaking การแฮ็กหรือ honeypot การแก้ปัญหาของผู้ใช้ปลายทางที่ไม่ดีคือภัยคุกคามที่ควรทำให้ฝ่าย IT ตื่นตัวในเวลากลางคืน
ครั้งแล้วครั้งเล่า, มันเป็นเรื่องง่ายๆ เช่น การเตือนผู้ใช้ไม่ให้คลิกลิงก์ที่ไม่คาดว่าจะเห็น, ห้ามติดตั้งซอฟต์แวร์ละเมิดลิขสิทธิ์, ใช้รหัสถอดรหัสเสมอ, การเข้าถึงที่ซับซ้อน, และอย่าส่งหลักการเซสชันบัญชีที่สงวนไว้ใดๆ ใจดีผ่านสาธารณะ . ไร้สาย
ขั้นตอนง่าย ๆ เช่นนี้มีผลอย่างมากในการลดโอกาสในการโจมตีสำเร็จ
ติดตามฉันที่ Mastodon หรือเข้าร่วมกับฉันที่ AppleHolic's bar & grill และ Apple Discussion Boards บน MeWe
ลิขสิทธิ์ © สองพันยี่สิบสาม IDG Communications, Inc.