Jamf, lo specialista dell’Apple device management, ha reso noto che, negli ultimi mesi, Jamf Threat Labs ha seguito una famiglia di malware macOS che è riemersa e ha operato senza essere individuata, nonostante una precedente iterazione fosse nota alla community della sicurezza.
Secondo Jamf, c’è una vera e propria “corsa agli armamenti” in corso tra autori di malware e ricercatori di sicurezza, ed è pressante la necessità di una maggiore sicurezza sui dispositivi Apple per garantirne l’uso sicuro ed efficace negli ambienti di produzione.
Il team di Jamf, composto da Matt Benyo, Ferdous Saljooki e Jaron Bradley, descrive la ricerca su questo malware effettuata da Jamf, in un post sul blog ufficiale dell’azienda, firmato dallo stesso Matt Benyo.
Durante il monitoraggio di routine delle attività di threat detections in the wild, ha spiegato il team di Jamf, i ricercatori hanno riscontrato un avviso che indicava l’utilizzo di XMRig, uno strumento di cripto-mining a riga di comando. Sebbene XMRig sia comunemente utilizzato per scopi legittimi, il suo design adattabile e open source lo ha reso una scelta popolare per i malintenzionati.
Questo caso particolare ha interessato i ricercatori di sicurezza perché è stato eseguito sotto le sembianze del software di editing video sviluppato da Apple, Final Cut Pro.
Ulteriori indagini hanno rivelato che questa versione dannosa di Final Cut Pro conteneva una modifica non autorizzata da Apple che eseguiva XMRig in background.
Al momento della scoperta da parte di Jamf, questo particolare campione non era stato rilevato come dannoso da nessun fornitore di sicurezza su VirusTotal. Da gennaio 2023, alcuni fornitori hanno rilevato il malware: tuttavia, sottolinea ancora Jamf, molte applicazioni dannose continuano a non essere identificate dalla maggior parte dei fornitori.
L’adware – spiegano gli esperti dell’azienda – è tradizionalmente il tipo più diffuso di malware per macOS, ma il cryptojacking, uno schema di cripto-mining furtivo e su larga scala, sta diventando sempre più diffuso. Dato che il crypto-mining richiede una quantità significativa di potenza di elaborazione, secondo Jamf è probabile che i continui progressi dei processori ARM di Apple renderanno i dispositivi macOS bersagli ancora più attraenti per il cryptojacking.
Sebbene il cryptojacking in sé non sia un concetto nuovo, questa particolare variante impiega alcune tattiche inedite. Questo malware utilizza l’Invisible Internet Project (i2p) per comunicare. i2p è un livello di rete privato che anonimizza il traffico, rendendolo un’alternativa meno visibile di Tor. Questo malware utilizza i2p per scaricare componenti dannosi e inviare la criptovaluta estratta al wallet dell’aggressore.
Durante la ricerca di altri esempi di malware che utilizzano il routing i2p, il team di Jamf ha scoperto che le tecniche di questo sample erano simili a quelle segnalate da Trend Micro nel febbraio 2022. Nonostante le somiglianze, c’erano ancora discrepanze e domande senza risposta, come ad esempio il motivo per cui questo particolare sample non è stato rilevato da tutti i fornitori di VirusTotal, anche se la famiglia di malware era già stata documentata.
Nel suo report, Trend Micro ha ipotizzato che il sample Mach-O possa essere arrivato in un package DMG per Adobe Photoshop CC 2019. Tuttavia, Trend Micro non è riuscita a trovare il DMG stesso. Dato che Jamf stava assistendo a uno scenario molto simile con Final Cut Pro, voleva anche identificare la provenienza di questo malware che attacca macOS.
Nel tentativo di individuare la fonte del malware, i ricercatori hanno effettivamente trovato su un mirror di Pirate Bay un torrent di Final Cut Pro con un hash dell’eseguibile dell’applicazione che corrispondeva all’hash del Final Cut Pro infetto che il team aveva individuato. Era dunque una copia di un software pirata, nello specifico Final Cut Pro, la fonte del malware.
Sul proprio blog, Jamf ha pubblicato la descrizione completa e dettagliata di questo nuovo malware che colpisce macOS, e di come sia stato scoperto.
