Des copies piratées de Final Cut Pro peuvent infecter votre Mac
Jamf Threat Labs a publié jeudi un rapport sur une nouvelle menace de malware sur macOS qui installe et exécute un logiciel de crypto-mining. Le logiciel malveillant est attaché à des copies piratées de Final Cut Pro qui sont téléchargées à partir de points de distribution non autorisés sur Internet.
Les versions piratées de Final Cut Pro ont un outil de crypto-minage appelé XMRig attaché. Lorsque le logiciel est téléchargé et installé, XMRig se lance en arrière-plan. Jamf rapporte que seule « une poignée » d’applications de protection contre les logiciels malveillants sont capables de détecter l’installation cachée de XMRig en janvier.
XMRig lui-même est souvent utilisé légitimement par les mineurs de crypto, mais comme il s’agit d’un utilitaire open source, il est souvent soumis à des utilisations illégitimes comme celle-ci. Avec XMRig exécuté en arrière-plan, le Mac consacre des ressources de traitement aux tâches d’exploration de données, ce qui affecte les performances.
Jamf a déclaré que cette installation de logiciel malveillant utilise i2p pour envoyer la crypto-monnaie extraite au portefeuille de l’attaquant et pour télécharger des composants logiciels malveillants sur le Mac. Le protocole de réseau i2p est conçu pour la confidentialité ; il est crypté et utilise un tunnel utilisé uniquement par l’utilisateur, le serveur et toute autre personne autorisée à y accéder. Comme XMRig, i2p a des utilisations légitimes, mais lorsqu’il est utilisé par des logiciels malveillants, il augmente la difficulté de suivre l’activité du réseau.
Les recherches de Jamf ont révélé que la source du malware a commencé à télécharger des versions piratées de Final Cut Pro en 2019 et que le malware est suffisamment intelligent pour éviter d’être détecté par l’application Activity Monitor de macOS. Si Activity Monitor est lancé, XMRig s’arrête et se relance lorsque l’utilisateur quitte Activity Monitor.
Dans un communiqué, Apple a reconnu le malware et a déclaré avoir mis à jour le Xprotect de macOS pour bloquer « les variantes spécifiques citées dans les recherches de JAMF » et garantir que le malware « ne contourne pas les protections Gatekeeper ». Apple a renforcé GateKeeper dans macOS Ventura pour analyser en continu les applications afin de s’assurer qu’elles sont correctement signées et n’ont pas été modifiées, mais les versions précédentes de macOS n’effectuent qu’une vérification initiale.
Le téléchargement de l’application piratée implique généralement l’utilisation d’un client torrent, et comme ces clients n’appliquent aucun attribut de quarantaine, les téléchargements contournent les contrôles de validation de macOS Monterey. Avec macOS Ventura, cependant, la copie piratée de Final Cut Pro ne passera pas la validation et ne se lancera pas, mais l’installation illégitime de XMRig se produit toujours et l’extraction en arrière-plan se poursuit.
Cette attaque de malware est précisément la raison pour laquelle Apple souhaite que vous fassiez vos achats sur l’App Store, où Apple examine chaque application pour s’assurer qu’elle ne contient pas de malware. Finalement, davantage d’applications de sécurité tierces détecteront cette attaque et fourniront une protection (Jamf note que cette attaque est bloquée par son service Protect Threat Prevention). Le moyen le plus simple d’éviter cette attaque consiste simplement à ne pas utiliser de logiciel piraté. La version officielle de Final Cut Pro coûte 300 $, bien qu’il y ait un Essai gratuit de 90 jours.