يتم استخدام إصدارات أحصنة طروادة من التطبيقات المشروعة لنشر البرمجيات الخبيثة المراوغة لتعدين العملات المشفرة على أنظمة macOS.
قالت Jamf Threat Labs ، التي حققت الاكتشاف ، إن جهاز تعدين العملات XMRig تم تنفيذه عن طريق تعديل غير مصرح به في برنامج Final Cut Pro ، وهو برنامج لتحرير الفيديو من Apple.
قال باحثو جامف مات بينيو وفردوس سالجوكي وجارون برادلي في تقرير تمت مشاركته مع The أخبار القراصنة.
تم توثيق تكرار سابق للحملة قبل عام بالضبط بواسطة Trend Micro ، والذي أشار إلى استخدام البرامج الضارة لـ i2p لإخفاء حركة مرور الشبكة وتكهن أنه ربما تم تسليمه كملف DMG لبرنامج Adobe Photoshop CC 2019.
قالت شركة إدارة أجهزة Apple إن مصدر تطبيقات cryptojacking يمكن تتبعه إلى Pirate Bay ، حيث يعود تاريخ أقدم عمليات التحميل إلى عام 2019.
والنتيجة هي اكتشاف ثلاثة أجيال من البرامج الضارة ، والتي لوحظت أولاً في أغسطس 2019 ، وأبريل 2021 ، وأكتوبر 2021 ، على التوالي ، والتي ترسم تطور تعقيد الحملة والتخفي.
أحد الأمثلة على أسلوب التهرب هو برنامج نصي للقذيفة يراقب قائمة العمليات الجارية للتحقق من وجود مراقب النشاط ، وإذا كان الأمر كذلك ، فقم بإنهاء عمليات التعدين.
تقوم عملية التعدين الخبيثة بالبنوك على المستخدم الذي يقوم بتشغيل التطبيق المقرصن ، حيث يتصل الرمز المضمن في الملف التنفيذي بخادم يتحكم فيه الممثل عبر i2p لتنزيل مكون XMRig.
إن قدرة البرمجيات الخبيثة على التحليق تحت الرادار ، إلى جانب حقيقة أن المستخدمين الذين يشغلون برامج متصدعة يفعلون عن طيب خاطر شيئًا غير قانوني ، جعلت ناقل التوزيع فعالًا للغاية لسنوات عديدة.
ومع ذلك ، اتخذت شركة Apple خطوات لمكافحة مثل هذه الإساءات من خلال إخضاع التطبيقات الموثقة لفحوصات Gatekeeper الأكثر صرامة في macOS Ventura ، وبالتالي منع تشغيل التطبيقات التي تم العبث بها.
وأشار باحثو جامف إلى أنه "من ناحية أخرى ، لم يمنع macOS Ventura عامل المنجم من التنفيذ". "بحلول الوقت الذي يتلقى فيه المستخدم رسالة الخطأ ، يكون هذا البرنامج الضار قد تم تثبيته بالفعل."
"لقد منع إطلاق النسخة المعدلة من Final Cut Pro ، الأمر الذي قد يثير شكوك المستخدم ويقلل بشكل كبير من احتمال عمليات الإطلاق اللاحقة من قبل المستخدم."