Versioni trojanizzate di applicazioni legittime stanno venendo utilizzate per diffondere malware evasivo per il mining di criptovalute sui sistemi MacOS.
Jamf Threat Labs, che ha fatto questa scoperta, ha affermato che il miner di criptovalute XMRig è stato eseguito attraverso una modifica non autorizzata in Final Cut Pro, un software di editing video di Apple.
I malware e i virus esistono anche su MacOS, ma cosa ci dicono gli esperti?
“Il malware utilizza l’Invisible Internet Project (i2p) […] per scaricare componenti dannosi e inviare la valuta estratta al wallet [wallet digitale per criptovalute] dell’attaccante“, hanno detto i ricercatori di Jamf, Matt Benyo, Ferdous Saljooki e Jaron Bradley, in un rappoto.
Una variante precedente di questa campagna è stata documentata esattamente un anno fa da Trend Micro, che ha evidenziato l’uso del malware di i2p per nascondere il traffico di rete e ha ipotizzato che potesse essere stato consegnato come un file DMG (sarebbero i file con cui si installano i programmi su MacOS, nel caso non lo sapessi) per Adobe Photoshop CC 2019 (per la precisione una versione piratata, ma lo vedrai tra poco).
L’azienda di gestione dei dispositivi Apple edi MacOS ha dichiarato che la fonte delle applicazioni per il cryptojacking può essere rintracciata su Pirate Bay, con i primi caricamenti risalenti addirittura al 2019.
Il risultato è stato la scoperta di tre generazioni di malware, osservate per la prima volta rispettivamente ad agosto 2019, aprile 2021 e ottobre 2021, che tracciano l’evoluzione della sofisticatezza e della furtività e dell’elusività della campagna di hacking.
Un esempio della tecnica di evasione è uno script shell che monitora l’elenco dei processi in esecuzione per verificare la presenza di Activity Monitor e, in caso positivo, terminare i processi di mining.
Queste applicazioni malevole per MacOS, è da precisare che non sono state scaricate legalmente, bensì distribuite in altra maniera spesso non legittima (per non dire illegale), un esempio sono per l’appunto i torrent.
Il processo di mining malevolo si basa sul fatto che l’utente lanci l’applicazione piratata, momento in cui il codice incorporato nell’eseguibile si connette a un server controllato dall’hacker su i2p per scaricare il componente XMRig.
La capacità del malware di non farsi beccare nemmeno da antivirus e antimalware “provetti”, unita al fatto che gli utenti che utilizzano software craccato stanno facendo qualcosa di illegale, ha reso tale vettore di distribuzione di malware altamente efficace per diversi anni (dal 2019 fino ai giorni nostri circa, per capirci).
Tuttavia, Apple ha preso provvedimenti per contrastare tale abuso sottoponendo le applicazioni notarizzate a controlli di Gatekeeper più rigorosi in macOS Ventura, impedendo così l’avvio di applicazioni manomesse.
“D’altra parte, macOS Ventura non ha impedito l’esecuzione del mining“, hanno evidenziato i ricercatori di Jamf. “Al momento in cui l’utente riceve il messaggio di errore, il malware è già stato installato.”
“Ha impedito l’avvio della versione modificata di Final Cut Pro, il che potrebbe sollevare sospetti per l’utente e ridurre notevolmente la probabilità di ulteriori avvii da parte dell’utente.”
Alcune considerazioni su questa vicenda
Questa vicenda dimostra (per l’ennesima volta) che molto spesso il problema che il più delle volte il problema non è il sistema operativo (vedasi fanatici di Linux che usano termini “offensivi” verso Windows tipo “Winzozz”), bensì un cattivo utilizzo del sistema operativo, in questo caso MacOS.
Sebbene sia comprensibile voler scaricare programmi crackati (e non serve dire che è illegale…) per risparmiare un po’ di saldi, è anche molto difficile credere che qualcuno spenda 300€ annuali di una licenza solo per crackare un programma e distribuirlo gratuitamente senza un tornaconto personale.
Questo caso di Cryptojacking tramite file DMG di programmi piratati scaricabili da Torrent, su MacOS tra l’altro, nemmeno su Windows, la dice abbastanza lunga sulla natura “gratuita” di molti programmi che con licenze legali costerebbero molto, altrimenti.
Tu stesso se fossi uno di questi malintenzionati in grado di crackare un videogioco o un programma costoso, ti invito a riflettere: spenderesti 500€ per avere la licenza di un programma, crackare tale programma e distribuirlo gratuitamente, il tutto a fondo perduto con zero guadagni? Ho parecchi dubbi a riguardo…
Questo argomento, tuttavia, meriterebbe un articolo a parte.
Non è tanto la pirateria in sé che è dura a morire, ma il fatto che quando si usi un dispositivo informatico (tablet, PC, smartphone, etc.) c’è la strana (e malsana) idea che tutto deva essere dovuto (quindi gratuito), perché l’utente finale mediamente non ha la più pallida idea di quanta fatica sia districarsi tra righe di codice e correggere problemi.
E se sei un tecnico che sistema PC e telefoni, dove molti utenti cercano soluzioni a pochi soldi o gratuite, capirai benissimo a cosa sto alludendo.
