Una nuova famiglia di malware per Mac che si diffonde attraverso versioni pirata di Final Cut Pro, Photoshop e altre applicazioni creative chiave è stata identificata dal team di ricercatori del Threat Labs di Jamf.
La nuova minaccia XMRig attacca in particolare il mining di criptovalute come Bitcoin, operazione che è diventata sempre più gettonata, ed è riuscito a “lavorare” sottotraccia per mesi.
La sua pericolosità risiede anche nel fatto che riesce a non apparire se la si cerca nel Monitoraggio attività del sistema operativo!
Che è uno dei metodi più immediati per capire se c’è qualcosa che non va.
Come agisce XMRig
XMRig si collega a copie pirata di applicazioni creative, tra cui versioni di Final Cut Pro, Logic Pro X e Adobe Photoshop. È il tipo di applicazione Mac “taroccata” che si trova spesso distribuita sulle reti peer to peer e Torrent.
Una volta installato, il malware estrae segretamente criptovalute utilizzando i Mac infetti, ed è progettato in modo intelligente per eludere il rilevamento: quando un utente apre Monitoraggio attività per vedere se c’è qualcosa di strano sul proprio Mac, il malware cessa immediatamente l’attività per evitare di essere individuato.
“L’adware è tradizionalmente il tipo più diffuso di malware per macOS, ma il cryptojacking, uno schema di cripto-mining furtivo e su larga scala, sta diventando sempre più diffuso”, spiega il rapporto della Jamf.
In questo caso, i ricercatori sono riusciti a identificare l’account di Pirate Bay che ha distribuito i file. Hanno scoperto che quasi tutte le app pirata condivise da questo particolare utente ospitavano malware di cripto-mining.
Follow the money
I ricercatori ipotizzano che questi attacchi possano diventare più diffusi, in parte a causa del successo di Apple nella creazione di chip Apple Silicon sempre più potenti. Questo potrebbe rendere i Mac un bersaglio ancora più attraente per il malware di crypto mining.
Che cos’è XMRig?
Invece di Tor, il malware (qui trovi la nostra guida al rilevamento) utilizza il protocollo di comunicazione Invisible Internet Project (i2P) per comunicare, scaricare malware e inviare la valuta estratta al portafoglio degli hacker.
L’attacco è riuscito a eludere il rilevamento su VirusTotal, anche se la famiglia di malware è stata individuata.
L’attacco tenta anche di ingannare gli utenti che hanno scaricato un’applicazione infestata da malware e di disattivare completamente la protezione Gatekeeper di Apple per far funzionare l’applicazione.
Ogni generazione ha visto l’attacco diventare più difficile da individuare. Alla fine di questo percorso, l’aggressore è diventato così sofisticato che i caricamenti sono apparsi su Pirate Bay entro soli 24 giorni dagli aggiornamenti delle applicazioni macOS ed è riuscito a camuffare i processi dannosi come processi di sistema.
C’è un elemento psicologico di ingegneria sociale in tutto questo: i dipendenti il cui hardware viene infettato perché hanno scaricato applicazioni pirata su un computer di lavoro sono consapevoli di aver agito illegalmente e sono meno propensi ad avvertire l’IT che il malware potrebbe essere entrato nel sistema.
La sicurezza è una battaglia costante
Apple afferma di continuare ad aggiornare il suo sistema XProtect per bloccare questa particolare famiglia di malware e ha sottolineato che questo attacco non aggira le protezioni di Gatekeeper.
In questo caso, Apple ha recentemente apportato miglioramenti significativi a macOS Ventura che rendono la vita più difficile a questo malware. I controlli di sicurezza più rigorosi di Ventura confermano che tutte le app autenticate sono firmate correttamente e non sono state modificate da processi non autorizzati, anche dopo il primo avvio. Si tratta di un notevole miglioramento rispetto a come si comportava la protezione Gatekeeper di Apple, che controllava un file solo al primo avvio.
Ma la conclusione è: non utilizzate software piratato!.
Conosci CleanMyMac? scopri la migliore soluzione per tenere in ordine il Mac!
scarica la versione free