Jamf Risk Labs a publié jeudi un rapport à propos d’une nouvelle menace de malware sur macOS qui installe et exécute un logiciel de crypto-minage. Le logiciel malveillant est attaché à des copies piratées de Last Minimize Professional qui sont téléchargées à partir de factors de distribution non autorisés sur Web.
Les variations piratées de Last Minimize Professional ont un outil de crypto-minage appelé XMRig ci-joint. Lorsque le logiciel est téléchargé et installé, XMRig se lance en arrière-plan. Jamf rapporte que seule « une poignée » d’purposes de safety contre les logiciels malveillants sont capables de détecter l’set up cachée de XMRig en janvier.
XMRig lui-même est souvent utilisé légitimement par les mineurs de crypto, mais comme il s’agit d’un utilitaire open supply, il est souvent soumis à des utilisations illégitimes comme celle-ci. Avec XMRig exécuté en arrière-plan, le Mac consacre des ressources de traitement aux tâches d’exploration de données, ce qui affecte les performances.
Jamf a déclaré que cette set up de logiciel malveillant utilise i2p pour envoyer la crypto-monnaie minée au portefeuille de l’attaquant et pour télécharger des composants logiciels malveillants sur le Mac. Le protocole de réseau i2p est conçu pour la confidentialité ; il est crypté et utilise un tunnel utilisé uniquement par l’utilisateur, le serveur et toute autre personne autorisée à y accéder. Comme XMRig, i2p a des utilisations légitimes, mais lorsqu’il est utilisé par des logiciels malveillants, il augmente la difficulté de suivre l’activité du réseau.
Les recherches de Jamf ont révélé que la supply du malware a commencé à télécharger des variations piratées de Last Minimize Professional en 2019 et que le malware est suffisamment clever pour éviter d’être détecté par l’utility Exercise Monitor de macOS. Si Exercise Monitor est lancé, XMRig s’arrête et se relance lorsque l’utilisateur quitte Exercise Monitor.
Le téléchargement de l’utility piratée implique généralement l’utilisation d’un consumer torrent, et comme ces purchasers n’appliquent aucun attribut de quarantaine, les téléchargements contournent les contrôles de validation de macOS Monterey. Avec macOS Ventura, cependant, la copie piratée de Last Minimize Professional ne passera pas la validation et ne se lancera pas, mais l’set up illégitime de XMRig se produit toujours et l’extraction en arrière-plan se poursuit.
Cette attaque de malware est précisément la raison pour laquelle Apple souhaite que vous fassiez vos achats sur l’App Retailer, où Apple study chaque utility pour s’assurer qu’elle ne contient pas de malware. Finalement, davantage d’purposes de sécurité tierces détecteront cette attaque et fourniront une safety (Jamf observe que cette attaque est bloquée par son service Shield Risk Prevention). Le moyen le plus easy d’éviter cette attaque consiste simplement à ne pas utiliser de logiciel piraté. La model officielle de Last Minimize Professional coûte 300 $, bien qu’il existe un Essai gratuit de 90 jours.
