(来源:Getty Images/undefined undefined)
安全研究人员发现了一个基本上未被发现的基于mac的恶意软件这是通过下载盗版软件传播的。
的发现(在新窗口打开)来自安全提供商Jamf,该公司在苹果的一个盗版版本上发现了这种恶意软件Final Cut Pro视频编辑软件,通常售价299.99美元。
贾夫首先发现恶意软件在客户的Mac电脑上秘密挖掘加密货币。“VirusTotal上的任何安全供应商都没有检测到这个特定的示例是恶意的。自2023年1月以来,少数供应商已经检测到这种恶意软件。”
由于恶意软件是通过未经授权的Final Cut Pro修改版本传入的,贾夫转向海盗湾该网站因通过torrent提供盗版软件而臭名昭著。
“我们下载了种子数量最多的最新torrent(针对Final Cut Pro),并检查了应用程序可执行文件的散列。它与我们在野外发现的被感染的Final Cut Pro的散列相匹配。我们现在有了答案,”安全研究人员说。
据Jamf称,海盗湾上有一个名为“wtfisthat34698409672”的上传者,他有多年发布盗版Mac软件的历史,他不仅传播了恶意软件,还发布了其他恶意代码的变体。这包括发布恶意软件版本的Logic Pro和Photoshop。
Jamf说:“此外,我们发现,从2019年开始的数十次上传中,几乎每一次都受到了恶意有效载荷的破坏,以秘密挖掘加密货币。”
恶意软件本身与反病毒提供商趋势科技的另一个样本有相似之处发现(在新窗口打开)一年前。当时,趋势科技无法找到确切的来源,但它确实推测感染来自Adobe Photoshop CC安装。
贾夫说,这种恶意软件自2019年以来一直在发展,当时黑客最初开始上传盗版但恶意的Mac软件。有趣的是,该恶意软件包含一个功能,可以检查用户是否访问了Mac的活动监视器应用程序,该应用程序可以显示CPU使用情况。
Jamf说:“如果发现了活动监视器,它会立即终止所有恶意进程。”“因此,如果受害者注意到他们的CPU比正常情况下运行得更热,同时无意中为攻击者挖掘加密,并打开活动监视器来确认他们的怀疑,恶意软件就会停止活动并隐藏起来,直到受害者下次启动应用程序。”
然而,贾夫发现恶意软件在新推出的手机上运行起来很困难macOS文图拉这要归功于操作系统中的新安全措施。盗版版Final Cut Pro将无法在macOS Ventura上启动,导致错误消息。也就是说,秘密嵌入盗版软件的加密货币矿工仍然可以执行。
贾夫还指出,黑客可能会升级恶意软件,试图绕过macOS Ventura的安全限制。该公司补充说:“在撰写本文时,由wtfisthat34698409672上传的盗版Photoshop仍然成功地在最新版本的macOS Ventura 13.2及更早版本上启动了恶意组件和正常组件。”
这项研究提醒人们在下载盗版产品时要小心。盗版软件一直是黑客可以利用的一种方式偷偷摸摸的行为电脑上的恶意软件。上传者wtfisthat34698409672在海盗湾仍然活跃。
