Raubkopien von Final Cut Pro für MacOS sind mit einem Kryptominer verseucht. Sie konnten als Torrent über das Piratenportal Pirate Bay heruntergeladen werden. | Pirated copies of Final Cut Pro for macOS are contaminated with a crypto miner. They could be downloaded as a torrent via the pirate portal Pirate Bay. |
|---|---|
| Forscher der Jamf Threat Labs haben eine neue Variante einer macOS Malware aufgedeckt, die Cyberkriminelle zum Schürfen von Kryptowährungen verwenden. Die XMRig-Malware verbreitet sich über Raubkopien von Kreativanwendungen, wie etwa Final Cut Pro, Adobe Photoshop oder Logic Pro X. Jamf ist auf eine Warnung gestoßen, die auf die Verwendung von XMRig hinweist, einem Befehlszeilen-Tool zum Krypto-Mining. XMRig wird zwar häufig für legitime Zwecke verwendet, ist aber aufgrund seines anpassungsfähigen Open-Source-Designs auch eine beliebte Wahl für böswillige Akteure. Dieser spezielle Fall wurde unter dem Deckmantel der von Apple entwickelten Videobearbeitungssoftware Final Cut Pro ausgeführt. Weitere Untersuchungen ergaben, dass diese bösartige Version von Final Cut Pro eine von Apple nicht autorisierte Modifikation enthielt, die XMRig im Hintergrund ausführte. Verseuchte Raubkopien auf Pirate Bay Konkret suchte das Jamf Team auf einem Pirate Bay Mirror Server nach Torrents von Final Cut Pro. Sie luden den neuesten Torrent mit der höchsten Anzahl von Seedern herunter und überprüften den Hash der ausführbaren Anwendung. Er stimmte mit dem Hash des infizierten Final Cut Pro überein, den sie in freier Wildbahn entdeckt hatten. Der Torrent wurde von einem Benutzer hochgeladen, der seit Jahren raubkopierte macOS-Software-Torrents hochlädt, von denen viele zu den am weitesten verbreiteten Versionen der jeweiligen Titel gehören. Die Forscher entdeckten, dass der Uploader die Quelle der gefundenen Malware war, und bestätigten auch, dass er die Quelle der zuvor gemeldeten Muster war. Darüber hinaus fanden sie heraus, dass praktisch jeder der Dutzenden Uploads, die 2019 begannen, mit einer bösartigen Nutzlast kompromittiert war, um heimlich Kryptowährung zu schürfen. Wenn der Benutzer auf das Final Cut Pro-Symbol doppelklickt, wird die trojanisierte ausführbare Datei gestartet, die die Shell-Aufrufe für die Einrichtung der Malware auslöst. In derselben ausführbaren Datei befinden sich zwei große base64-Blobs, die über Shell-Aufrufe dekodiert werden. Die Dekodierung dieser beiden Blobs führt zu zwei entsprechenden tar-Archiven. Das eine enthält eine Arbeitskopie von Final Cut Pro. Der andere base64-kodierte Blobs entschlüsselt eine angepasste ausführbare Datei, die für die Verarbeitung des verschlüsselten i2p-Datenverkehrs zuständig ist. Von keinem Antivirenprogramm erkannt Zum Zeitpunkt der Entdeckung wurde dieses spezielle Beispiel von keinem Sicherheitsanbieter auf VirusTotal als bösartig erkannt. Seit Januar 2023 haben eine Handvoll Anbieter die Malware entdeckt. Viele der bösartigen Anwendungen werden jedoch von den meisten Anbietern weiterhin nicht erkannt. Frühere Versionen dieser Malware-Familie sind der Security Community bereits bekannt, auch Cryptojacking ist keine neue neuartige Taktik. Die neuste Generation dieser Malware dagegen setzt neue Akzente und bleibt damit bislang weitgehend unentdeckt: Sie nutzt i2p (Invisible Internet Project) für die Kommunikation. Dabei handelt es sich um eine private Netzwerkschicht, die den Datenverkehr anonymisiert und damit eine weniger auffällige Alternative zu Tor darstellt. | Researchers at Jamf Threat Labs have uncovered a new variant of macOS malware that cybercriminals use to mine cryptocurrencies. The XMRig malware spreads via pirated copies of creative applications, such as Final Cut Pro, Adobe Photoshop and Logic Pro X. Jamf has come across an alert that indicates the use of XMRig, a command-line crypto-mining tool. While XMRig is commonly used for legitimate purposes, it is also a popular choice for malicious actors due to its customizable open-source design. This particular case was executed under the guise of Apple’s Final Cut Pro video editing software. Further investigation revealed that this malicious version of Final Cut Pro contained an Apple-unauthorized modification that XMRig executed in the background. Contaminated pirated copies on Pirate Bay Specifically, the Jamf team searched for torrents of Final Cut Pro on a Pirate Bay mirror server. They downloaded the latest torrent with the highest number of seeders and checked the hash of the executable application. It matched the hash of the infected Final Cut Pro they discovered in the wild. The torrent was uploaded by a user who has been uploading pirated macOS software torrents for years, many of which are among the most widely distributed versions of the respective titles. The researchers discovered that the uploader was the source of the malware they found, and also confirmed that it was the source of the previously reported patterns. In addition, they found that virtually every one of the dozens of uploads that began in 2019 was compromised with a malicious payload to secretly mine cryptocurrency. When the user double-clicks the Final Cut Pro icon, the Trojanized executable is launched, which triggers the shell calls to set up the malware. In the same executable file, there are two large base64 blobs that are decoded via shell calls. Decoding these two blobs results in two corresponding tar archives. One contains a working copy of Final Cut Pro. The other base64-encoded blob decodes a custom executable file that is responsible for processing the encrypted i2p traffic. Not detected by any antivirus program At the time of discovery, this particular sample was not detected as malicious by any security vendor on VirusTotal. Since January 2023, a handful of vendors have detected the malware. However, many of the malicious applications remain undetected by most vendors. Earlier versions of this malware family are already known to the security community, and cryptojacking is not a new novel tactic either. The latest generation of this malware, on the other hand, sets new accents and thus remains largely undetected to date: it uses i2p (Invisible Internet Project) for communication. This is a private network layer that anonymizes data traffic and is thus a less conspicuous alternative to Tor. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de