Editor Top
Jamf Threat Labs emitió el jueves un informe sobre una nueva amenaza de malware en macOS que instala y ejecuta software de criptominería. El malware se adjunta a copias pirateadas de Final Cut Pro que se descargan de puntos de distribución no autorizados en Internet.
Las versiones pirateadas de Final Cut Pro tienen adjunta una herramienta de criptominería llamada XMRig. Cuando se descarga e instala el software, XMRig se inicia en segundo plano. Jamf informa que solo «un puñado» de aplicaciones de protección contra malware pueden detectar la instalación oculta de XMRig a partir de enero.
XMRig en sí mismo a menudo es utilizado legítimamente por los criptomineros, pero como es una utilidad de código abierto, a menudo está sujeto a usos ilegítimos como este. Con XMRig ejecutándose en segundo plano, la Mac dedica recursos de procesamiento a las tareas de minería, lo que afecta el rendimiento.
Jamf dijo que esta instalación de malware usa i2p para enviar criptomonedas extraídas a la billetera del atacante y descargar componentes de software malicioso a la Mac. El protocolo de red i2p está diseñado para la privacidad; está encriptado y usa un túnel que solo usan el usuario, el servidor y cualquier otra persona a la que se le haya otorgado acceso. Al igual que XMRig, i2p tiene usos legítimos, pero cuando lo usa un malware, aumenta la dificultad de rastrear la actividad de la red.
La investigación de Jamf encontró que la fuente del malware comenzó a cargar versiones pirateadas de Final Cut Pro en 2019 y que el malware es lo suficientemente inteligente como para evitar ser detectado por la aplicación Monitor de actividad de macOS. Si se inicia el Monitor de actividad, XMRig deja de ejecutarse y se reinicia cuando el usuario sale del Monitor de actividad.
La descarga de la aplicación pirateada generalmente implica el uso de un cliente de torrent y, dado que estos clientes no aplican ningún atributo de cuarentena, las descargas eluden las comprobaciones de validación de macOS Monterey. Sin embargo, con macOS Ventura, la copia pirateada de Final Cut Pro no pasará la validación y no se iniciará, pero aún se produce la instalación ilegítima de XMRig y continúa la minería en segundo plano.
Este ataque de malware es precisamente la razón por la que Apple quiere que compres en la App Store, donde Apple examina cada aplicación para asegurarse de que no contenga malware. Eventualmente, más aplicaciones de seguridad de terceros se darán cuenta de este ataque y brindarán protección (Jamf señala que este ataque está bloqueado por su servicio Protect Threat Prevention). La forma más fácil de evitar este ataque es simplemente no usar software pirateado. La versión oficial de Final Cut Pro cuesta $300, aunque hay un Prueba gratuita de 90 días.
