Peneliti keamanan menemukan operasi cryptomining yang menargetkan macOS dengan versi berbahaya dari Final Cut Pro yang sebagian besar tetap tidak terdeteksi oleh mesin antivirus.
Mereka menemukan bahwa varian jahat didistribusikan melalui torrent dan mengeksekusi utilitas XMRig yang menambang untuk cryptocurrency Monero.
Evolusi ancaman macOS
Tim Lab Ancaman Jamf menemukan ancaman macOS khusus ini dan melacaknya ke torrent berbahaya yang dibagikan melalui The Pirate Bay oleh pengguna bernama wtfisthat34698409672.
Tampaknya pengguna telah mengunggah aplikasi macOS lain seperti Adobe Photoshop dan Logic Pro X sejak 2019, semuanya berisi muatan untuk penambangan cryptocurrency.
Analisis yang lebih dalam membawa para peneliti pada kesimpulan bahwa malware telah mengalami tiga tahap pengembangan utama, setiap kali menambahkan teknik penghindaran yang lebih kompleks.
Khususnya, alat keamanan saat ini secara konsisten hanya mendeteksi ancaman generasi pertama, yang berhenti beredar pada April 2021.
Sejak generasi pertama, malware menggunakan lapisan jaringan i2p (Invisible Internet Project) untuk komunikasi perintah dan kontrol (C2) guna menganonimkan lalu lintas. Fitur ini tetap ada di semua versi malware.
Malware generasi kedua muncul relatif singkat antara April 2021 dan Oktober 2021, menampilkan pengkodean basis 64 untuk file yang dapat dieksekusi yang disembunyikan di bundel aplikasi.
Generasi ketiga dan saat ini muncul pada Oktober 2021. Mulai Mei 2022, menjadi satu-satunya varian yang didistribusikan secara liar. Fitur baru dari varian ini adalah dapat menyamarkan proses jahatnya sebagai proses sistem di Spotlight untuk menghindari deteksi.
Selain itu, versi terbaru menyertakan skrip yang terus-menerus memeriksa Monitor Aktivitas, dan jika diluncurkan, ia segera menghentikan semua prosesnya agar tetap tersembunyi dari pemeriksaan pengguna.
Ventura dan jalan di depan
Versi terbaru macOS, dengan nama kode “Ventura,” memperkenalkan pemeriksaan penandatanganan kode yang lebih ketat yang mengancam untuk menyembunyikan dan meluncurkan malware dari dalam aplikasi yang diluncurkan pengguna, terutama yang bajakan, menjadi tidak efektif.
Dalam hal ini, para perompak memodifikasi Final Cut Pro hanya sebagian, mempertahankan sertifikat penandatanganan kode asli tetap utuh. Namun, Ventura tetap membatalkannya karena mendeteksi adanya modifikasi pada konten perangkat lunak.
Namun, ini hanya mencegah aplikasi yang sah berjalan, bukan penambang cryptocurrency, jadi sistem keamanan baru Apple masih memiliki beberapa cara untuk melindungi pengguna secara efektif.
Kesimpulannya, rekomendasinya adalah untuk menghindari mengunduh perangkat lunak bajakan dari jaringan peer-to-peer, karena ini hampir selalu dipenuhi dengan malware atau adware.
