Noticias

Aplicaciones de macOS con troyanos distribuyen malware de cryptojacking

marzo 3, 2023
Muchas aplicaciones troyanizadas han estado dando vueltas durante mucho tiempo, sin embargo, ha sido complejo detectarlas.

Recientemente, un grupo de piratas informáticos usó la versión pirateada de Final Cut Pro, un software de edición de video de Apple, para implementar el malware XMRig en los sistemas macOS.

Según los investigadores de Jamf Threat Labs, un usuario con un historial de años de carga de torrents de software macOS pirateado está cargando aplicaciones maliciosas en los torrents de Pirate Bay. Las aplicaciones más recientes contienen la carga útil de XMRig que utiliza Invisible Internet Project (i2p) encriptado con codificación base64 para descargar componentes maliciosos y enviar criptomonedas extraídas a la billetera del atacante.
Ha habido docenas de cargas de 2019 y 2021 que se inyectaron con una carga maliciosa para extraer criptomonedas de forma subrepticia.

Modus operandi del malware

El malware ha estado operando como un minero de criptomonedas evasivo bajo el radar y ha adoptado nuevas técnicas de ofuscación con años de evolución. Cuando el usuario descarga y hace doble clic en una aplicación pirateada, el ejecutable troyano se ejecuta y base64 extrae el archivo codificado de Final Cut Pro y el ejecutable i2p.
Luego, el ejecutable minero se extrae del servidor C2 y comienza la minería.

Evolución a través de generaciones

Al analizar el historial de todos los torrents subidos, los investigadores pudieron identificar tres generaciones de malware.
Las muestras de malware de primera generación obtuvieron privilegios elevados para instalar Launch Daemon para persistencia mediante el uso de la API AuthorizationExecuteWithPrivileges. Las muestras cambiaron a un agente de inicio de usuario para evitar una solicitud de contraseña llamativa durante el proceso de persistencia.

  • Las muestras de segunda generación no tenían métodos de persistencia tradicionales y posiblemente dependían de que el usuario iniciara el paquete de aplicaciones para iniciar el proceso de minería.
  • Las muestras de tercera generación enmascaran sus componentes i2p maliciosos dentro del ejecutable de la aplicación usando codificación base64 y comandos de shell.

Además, el Final Cut Pro pirateado de tercera generación es significativamente más grande que una copia genuina, con un peso de 11,9 MB en comparación con los 3,7 MB estándar.

applemacosmalware

Comparte este Artículo

Artículos relacionados

Noticias
Los operadores de ChromeLoader ocultan malware en archivos VHD para crackear juegos
 3 de marzo de 2023

Últimamente, se ha descubierto el uso de archivos VHD maliciosos para juegos populares para engañar a los usuarios para que descarguen el malware.
Eventos
Estudio NIVEL4: En Chile las empresas tardan más de 24 días en resolver vulnerabilidades críticas
 7 de marzo de 2023

Nota por Trendtic.