Logiciel de minage XMRig sur Apple
Les Malwares peuvent ont des fonctions différentes selon leur type. Ils en existent pour miner des crypto monnaies/ XMRig est l’un d’eux.
Au cours des derniers mois, Jamf Threat Labs a étudié une série de logiciels malveillants qui ont refait surface et ont fonctionné sans être détectés, bien qu’une itération antérieure soit connue de la communauté de la sécurité.
Une alerte indiquant l’utilisation de XMRig, un outil de crypto extraction en ligne de commande. Alors que XMRig est couramment utilisé à des fins légitimes, sa conception adaptable et open source en a également fait un choix populaire pour les acteurs malveillants.
Sous couvert du logiciel de montage vidéo développé par Apple, Final Cut Pro, se malware se propage.
Une enquête plus approfondie a révélé que cette version malveillante de Final Cut Pro contenait une modification non autorisée par Apple qui exécutait XMRig en arrière-plan.
Les échantillons de ce Malwares ont été détecté par Virus Total bien après son apparition.
Adwares présent sur MacOs
Contrairement à la rumeur très répandue, MacOs ,’est pas exempt de Malwares.
Les logiciels publicitaires ont traditionnellement été le type de malware sur MacOs le plus répandu, mais le crypto hacking, un système de crypto-minage furtif et à grande échelle, devient de plus en plus répandu.
Étant donné que le crypto-minage nécessite une puissance de traitement importante, il est probable que les progrès continus des processeurs Apple ARM feront des appareils MacOs des cibles encore plus attrayantes pour le cryptojacking.
Bien que le cryptojacking lui-même ne soit pas un nouveau concept, cette variante particulière utilise de nouvelles tactiques.
Crypto-mining XMRig sur les sites de torrent
Après recherche et études approfondies du logiciel malveillant sur les Mac, il s’avère que la source est le téléchargement Torrents.
Le premier téléversements sur le site de torrent a été fait en 2019.
Depuis bien sûr, le logiciel malveillant s’est multiplié sur les plateformes.
Les performances et progrès constants des processeurs ARM font des Mac une cible privilégiée pour les hackers.
Le processus après le téléchargement de l’application sur Apple Store :
- L’utilisateur double-clique sur l’ensemble d’applications
- Exécutions d’exécutables cheval de Troie
- Exécutable Final Cut Pro encodé en base64 de travail extrait
- Exécutable i2p encodé en Base64 extrait et déguisé comme mdworker_sharedlors de l’exécution
- L’exécutable Miner est extrait du serveur de commande et de contrôle
- L’exploitation minière commence déguisée en mdworker_localprocessus
La présence du logiciel malveillant peut être repéré par l’utilisateur qui constate que son processeur chauffe anormalement.
Apple avec macOS Ventura apporte une solution de sécurité plus stricte, mais n’empêche pas le fonctionnement du Malware téléchargé sur des sites de torrent avec des applications piratées.
Le malware est détecté sur Logic Pro et Final Cut Pro (les deux sont des titres Apple).
Photoshop piraté téléchargé lance toujours avec succès les composants malveillants et fonctionnels sur la dernière version de macOS Ventura 13.2 et versions antérieures.
Cela semble être dû à une différence mineure dans la façon dont l’exécutable de la copie de travail de Photoshop est appelée par rapport à la façon dont les exécutables Final Cut et Logic Pro sont lancés.
Ceux-ci pourraient probablement être restaurés en état de fonctionnement avec des ajustements mineurs de la part de l’auteur du logiciel malveillant.
Mise à jour Xprotect
Des échantillons de logiciels malveillants découverts ont été partagés avec Apple. Depuis la version 2166, les signatures XProtect ont également été mises à jour pour se défendre contre cette menace.
Le virus XMRig sera fonctionnel si l’utilisateur l’installe malgré les alertes de sécurité de la solution de protection d’Apple.
Source : Crypto et Apple
