調査により、macOS 上で Final Cut Pro の海賊版を通じて配布された、回避型の新しい暗号化ジャッキングマルウェアが発見されました。
Jamf Threat Labsは、ここ数ヶ月、最近再浮上したマルウェアファミリーを追跡してきました。以前のバージョンはセキュリティコミュニティで知られていますが、新しいバージョンはあまり検出されていません。
Jamfは、定常監視中に、暗号通貨マイニング用のコマンドラインツールであるXMRigの使用に関するアラートを受け取りました。XMRigは善意の目的で頻繁に利用されていますが、カスタマイズ可能でオープンソースであることから、悪意のある攻撃者にも好まれる選択肢となっています。
チームは、Appleのビデオ編集ソフトウェアであるFinal Cut Proの海賊版にマルウェアが潜んでいることを発見しました。この悪意のあるFinal Cut Proのバージョンは、バックグラウンドでXMRigを実行していました。
埋め込まれたマルウェアスクリプト。出典:Jamf Labs
通信には、トラフィックを匿名化できるプライベートネットワーク層であるInvisible Internet Project(i2p)を使用します。マルウェアはこれを利用して悪意のあるコンポーネントをダウンロードし、採掘した通貨を攻撃者のウォレットに送信します。
Jamfは、海賊版音楽、映画、ソフトウェア、その他のファイルカテゴリーの有名なリポジトリであるThe Pirate Bayを検索しました。シーダーの数が最も多い最新のTorrentをダウンロードしたところ、マルウェアが含まれていることが判明しました。
アップロード者はマルウェアの発信元であり、以前に報告されたサンプルの発信元でもありました。2019年に始まった多数のアップロードのほぼ全てが、暗号通貨を密かにマイニングするための悪意のあるペイロードに感染していました。
ユーザーが感染したFinal Cut Proアプリをインストールすると、マルウェアとXMRigのコマンドラインコンポーネントのダウンロードとセットアップを行うプロセスが直ちに開始されます。このプロセスは、マイニングを「mdworker_local」プロセスに偽装します。
保護された状態を維持する
研究者らは、macOS Venturaが悪意のあるアプリの実行をブロックできると指摘しています。これは、マルウェアが元のコード署名をそのまま残しつつアプリケーションを改変し、システムのセキュリティポリシーに違反するためです。
アプリをブロックするゲートキーパー
しかし、macOS Venturaはマイナーの実行を阻止できません。そのため、Final Cut Proが破損しているため開けないというエラーメッセージがユーザーに表示される頃には、マルウェアはすでにインストール済みです。
チームは、Logic ProとFinal Cut Proの海賊版でのみこのエラーメッセージを発見しました。しかし、Photoshopの海賊版は、macOS Ventura 13.2以前で悪意のあるコンポーネントを起動することに成功しました。
マルウェアを避ける最も明白な方法は、海賊版ソフトウェアをダウンロードしないことです。Final Cut Proは299.99ドルと高価ですが、iMovieとDaVinci Resolveはどちらも無料の選択肢です。
VirusTotalの画像。他のベンダーからの検出数は0。Jamf Threat Labsが2023年2月10日に撮影。
Jamfは、マルウェアの検出時点で、マルウェア検出ウェブサイトVirusTotalにおいて、どのセキュリティベンダーからもマルウェアとして検出されなかったことを発見しました。2023年1月以降、いくつかの匿名ベンダーがこのマルウェアを検出し始めたようですが、悪意を持って改変されたプログラムの中には、依然として検出されないままのものもあります。
したがって、少なくとも現時点では、ユーザーはマルウェア対策ソフトウェアに頼って感染を検出することはできない可能性があります。
