Jamf Threat Labs hôm thứ Năm đã đưa ra một báo cáo về mối đe dọa phần mềm độc hại mới trên macOS cài đặt và chạy phần mềm khai thác tiền điện tử. Phần mềm độc hại được đính kèm với các bản sao lậu của Final Cut Pro được tải xuống từ các điểm phân phối trái phép trên internet.
Các phiên bản lậu của Final Cut Pro có đính kèm một công cụ khai thác tiền điện tử có tên là XMRig. Khi phần mềm được tải xuống và cài đặt, XMRig sẽ khởi chạy ở chế độ nền. Jamf báo cáo rằng chỉ “một số ít” ứng dụng bảo vệ phần mềm độc hại có thể phát hiện cài đặt XMRig ẩn kể từ tháng Giêng.
Bản thân XMRig thường được sử dụng hợp pháp bởi những người khai thác tiền điện tử, nhưng vì nó là một tiện ích nguồn mở nên nó thường bị sử dụng bất hợp pháp như tiện ích này. Với XMRig chạy trong nền, máy Mac dành tài nguyên xử lý cho các tác vụ khai thác, điều này ảnh hưởng đến hiệu suất.
Jamf nói rằng cài đặt phần mềm độc hại này sử dụng i2p để gửi tiền điện tử khai thác được đến ví của kẻ tấn công và tải các thành phần phần mềm độc hại xuống máy Mac. Giao thức mạng i2p được thiết kế để đảm bảo quyền riêng tư; nó được mã hóa và sử dụng một đường hầm chỉ được sử dụng bởi người dùng, máy chủ và bất kỳ người nào khác được cấp quyền truy cập. Giống như XMRig, i2p có những mục đích sử dụng hợp pháp, nhưng khi bị phần mềm độc hại sử dụng, nó sẽ làm tăng khó khăn trong việc theo dõi hoạt động mạng.
Nghiên cứu của Jamf cho thấy nguồn gốc của phần mềm độc hại đã bắt đầu tải lên các phiên bản Final Cut Pro vi phạm bản quyền vào năm 2019 và phần mềm độc hại này đủ thông minh để tránh bị ứng dụng Activity Monitor của macOS phát hiện. Nếu Trình giám sát hoạt động được khởi chạy, XMRig sẽ ngừng chạy và khởi chạy lại khi người dùng thoát khỏi Trình giám sát hoạt động.
Tải xuống ứng dụng vi phạm bản quyền thường liên quan đến việc sử dụng ứng dụng khách torrent và vì những ứng dụng khách này không áp dụng bất kỳ thuộc tính cách ly nào nên quá trình tải xuống sẽ bỏ qua kiểm tra xác thực của macOS Monterey. Tuy nhiên, với macOS Ventura, bản sao lậu của Final Cut Pro sẽ không vượt qua quá trình xác thực và sẽ không khởi chạy, nhưng việc cài đặt XMRig bất hợp pháp vẫn xảy ra và quá trình khai thác nền vẫn tiếp tục.
Cuộc tấn công phần mềm độc hại này chính là lý do tại sao Apple muốn bạn mua sắm tại App Store, nơi Apple kiểm tra từng ứng dụng để đảm bảo chúng không chứa phần mềm độc hại. Cuối cùng, nhiều ứng dụng bảo mật của bên thứ ba sẽ bắt kịp cuộc tấn công này và cung cấp khả năng bảo vệ (Jamf lưu ý rằng cuộc tấn công này bị chặn bởi dịch vụ Ngăn chặn mối đe dọa bảo vệ của nó). Cách dễ nhất để tránh cuộc tấn công này là không sử dụng phần mềm vi phạm bản quyền. Phiên bản chính thức của Final Cut Pro có giá 300 đô la, mặc dù có bản dùng thử miễn phí 90 ngày.