2023年02月24日 14時00分 セキュリティ

Macに感染して無断で仮想通貨をマイニングするマルウェアが海賊版「Final Cut Pro」に仕込まれている



macOSの動画編集ソフトウェアである「Final Cut Pro」の海賊版に、ユーザーに無断でデバイスのリソースを使用して仮想通貨をマイニングするクリプトジャッキングマルウェアが仕込まれていることを、サイバーセキュリティ企業のJamf Threat Labsが報告しました。今回発見されたマルウェアは巧妙な検出回避システムを備えており、ほとんどのセキュリティソフトでは検出されなかったとのことです。



Beware of macOS cryptojacking malware.

https://www.jamf.com/blog/cryptojacking-macos-malware-discovered-by-jamf-threat-labs/



Pirated Final Cut Pro infects your Mac with cryptomining malware

https://www.bleepingcomputer.com/news/security/pirated-final-cut-pro-infects-your-mac-with-cryptomining-malware/



Mac cryptomining malware found in pirate copies of Final Cut Pro

https://9to5mac.com/2023/02/23/mac-cryptomining-malware/



クリプトジャッキングマルウェアとは、感染したデバイスのコンピューティングリソースを無断で利用し、ユーザーが気づかないうちに仮想通貨をマイニングするマルウェアです。仮想通貨のマイニングにはかなりの処理能力が必要であるため、Appleが開発するMac向けチップが継続的に進歩するにつれ、macOSデバイスはクリプトジャッキングマルウェアの標的として魅力的になっているとのこと。





ある日、Jamf Threat Labsの研究チームは、仮想通貨マイニングツールである「XMRig」を使用するクリプトジャッキングマルウェアを検出しました。もともとXMRigは正当な仮想通貨マイニングツールとして公開されましたが、適応性が高くオープンソースであることから、悪意のあるアクターにも広く利用されています。



Jamf Threat Labsが検出したクリプトジャッキングマルウェアは、macOS向けの動画編集ソフトウェア・Final Cut Proの海賊版に仕込まれていたとのこと。マルウェアを仕込んだ海賊版をアップロードしたユーザーは、2019年からPhotoshopやLogic Proを含むmacOS向け海賊版ソフトウェアをアップロードしており、それらすべてに仮想通貨マイニング用のマルウェアが含まれていたそうです。





研究チームの分析により、海賊版Final Cut Proに仕込まれていたクリプトジャッキングマルウェアは、3世代にわたる主要な開発段階を経て進化していることがわかりました。2019年に登場した第1世代ではマルウェアのC&C通信を匿名化することで検出を回避しており、2021年4月から登場した第2世代ではアプリバンドルに実行可能ファイルを隠していたとのこと。



そして2021年10月に登場した第3世代では、悪意のあるプロセスをmacOSのデスクトップ検索機能・Spotlightのシステムプロセスに偽装する機能と、3秒ごとにmacOSのパフォーマンス監視ツールであるアクティビティモニタが実行中かどうかをチェックし、アクティビティモニタが見つかるとただちに悪意のあるプロセスを終了する機能も搭載しています。これらの組み合わせにより、たとえユーザーがデバイスの動作が遅いことを不審に思っても、アクティビティモニタからマルウェアを見つけることができないというわけです。



なお、2022年10月にリリースされたmacOS Venturaでは厳格なコード署名チェックが導入されており、海賊版Final Cut Proの変更を検出してアプリケーションをブロックできますが、ブロックした時点ですでにマルウェアはインストールされているとのこと。テクノロジー系メディアのBleeping Computerは、「結論として、海賊版ソフトウェアはほとんどがマルウェアやアドウェアに感染しているため、P2Pネットワークから海賊版ソフトウェアをダウンロードしないことを推奨します」と述べています。



Appleはテクノロジー系メディア・9to5Macに対し、「Jamfの調査で引用された特定の亜種を含め、このマルウェアをブロックするためにXProtectの更新を続けています。さらに、このマルウェアファミリーはGatekeeperによる保護をバイパスしません。Mac App Storeは、Mac用ソフトウェアを入手するための最も安全な場所です」とコメントしました。