Cryptominer su macOS tramite una versione pirata di Final Cut Pro

I ricercatori di sicurezza di Jamf Threat Labs hanno individuato una campagna di cryptomining che prende di mira macOS sfruttando alcune applicazioni piratate e disponibile tramite i canali torrent come Final Cut Pro, Logic Pro X e Adobe Photoshop per installare XMRig, un cryptominer occulto utilizzato per estrarre la critpovaluta Monero.

L'analisi condotta dai ricercatori ha permesso di riscontrare che il malware è passato attraverso tre fasi di sviluppo, ciascuna volta ad aggiungere tecniche di evasione sempre più complesse. La prima versione di questo malware ha iniziato a circolare ad aprile del 2021, mentre l'attuale versione è in circolazione da ottobre dello stesso anno e a partire da maggio del 2022 risulta essere l'unica variante distribuita.

Un comportamento peculiare di questa versione è la capacità di nascondere la sua attività mascherandola da processo di sistema per Spotlight, eludendo così la possibilità di essere rilevato. Questa versione contiene anche uno script che controlla se l'utility "Monitoraggio Attività" viene avviata e, in tal caso, termina immediatamente tutti i suoi processi così da passare inosservato all'utente.

Il sistema operativo macOS nella versione "Ventura" ha introdotto un più stringente sistema di controllo delle firme del codice delle applicazioni, allo scopo di rendere più difficile l'occultamento e l'avvio di malware all'interno delle app lanciate dagli utenti, con particolare attenzione proprio alle app non ufficiali e piratate.

In questo caso però, l'app Final Cut Pro utilizzata dagli hacker come vettore di infezione, è stata modificata solo parzialmente lasciando intonso il certificato di firma del codice originale. Ventura però lo ha invalidato poiché ha rilevato una modifica nel contenuto software. Questo però ha impedito l'esecuzione dell'applicazione legittima, ma non del cryptominer.

Apple ha dichiarato che questo particolare malware è comunque già noto presso i suoi ricercatori di sicurezza e che al momento sono in fase di sviluppo alcuni aggiornamenti a XProtect così che possa essere contrastato con efficacia. Apple afferma inoltre che questa famiglia di malware non è in grado di aggirare le protezioni di Gatekeeper e pertanto costituisce una minaccia solamente per gli utenti che hanno disabilitato tale funzione dal pannello di controllo.