セキュリティ

Macに感染して無断で仮想通貨をマイニングするマルウェアが海賊版「Final Cut Pro」に仕込まれている


macOSの動画編集ソフトウェアである「Final Cut Pro」の海賊版に、ユーザーに無断でデバイスのリソースを使用して仮想通貨をマイニングするクリプトジャッキングマルウェアが仕込まれていることを、サイバーセキュリティ企業のJamf Threat Labsが報告しました。今回発見されたマルウェアは巧妙な検出回避システムを備えており、ほとんどのセキュリティソフトでは検出されなかったとのことです。

Beware of macOS cryptojacking malware.
https://www.jamf.com/blog/cryptojacking-macos-malware-discovered-by-jamf-threat-labs/

Pirated Final Cut Pro infects your Mac with cryptomining malware
https://www.bleepingcomputer.com/news/security/pirated-final-cut-pro-infects-your-mac-with-cryptomining-malware/

Mac cryptomining malware found in pirate copies of Final Cut Pro
https://9to5mac.com/2023/02/23/mac-cryptomining-malware/

クリプトジャッキングマルウェアとは、感染したデバイスのコンピューティングリソースを無断で利用し、ユーザーが気づかないうちに仮想通貨をマイニングするマルウェアです。仮想通貨のマイニングにはかなりの処理能力が必要であるため、Appleが開発するMac向けチップが継続的に進歩するにつれ、macOSデバイスはクリプトジャッキングマルウェアの標的として魅力的になっているとのこと。


ある日、Jamf Threat Labsの研究チームは、仮想通貨マイニングツールである「XMRig」を使用するクリプトジャッキングマルウェアを検出しました。もともとXMRigは正当な仮想通貨マイニングツールとして公開されましたが、適応性が高くオープンソースであることから、悪意のあるアクターにも広く利用されています。

Jamf Threat Labsが検出したクリプトジャッキングマルウェアは、macOS向けの動画編集ソフトウェア・Final Cut Proの海賊版に仕込まれていたとのこと。マルウェアを仕込んだ海賊版をアップロードしたユーザーは、2019年からPhotoshopLogic Proを含むmacOS向け海賊版ソフトウェアをアップロードしており、それらすべてに仮想通貨マイニング用のマルウェアが含まれていたそうです。


研究チームの分析により、海賊版Final Cut Proに仕込まれていたクリプトジャッキングマルウェアは、3世代にわたる主要な開発段階を経て進化していることがわかりました。2019年に登場した第1世代ではマルウェアのC&C通信を匿名化することで検出を回避しており、2021年4月から登場した第2世代ではアプリバンドルに実行可能ファイルを隠していたとのこと。

そして2021年10月に登場した第3世代では、悪意のあるプロセスをmacOSのデスクトップ検索機能・Spotlightのシステムプロセスに偽装する機能と、3秒ごとにmacOSのパフォーマンス監視ツールであるアクティビティモニタが実行中かどうかをチェックし、アクティビティモニタが見つかるとただちに悪意のあるプロセスを終了する機能も搭載しています。これらの組み合わせにより、たとえユーザーがデバイスの動作が遅いことを不審に思っても、アクティビティモニタからマルウェアを見つけることができないというわけです。

なお、2022年10月にリリースされたmacOS Venturaでは厳格なコード署名チェックが導入されており、海賊版Final Cut Proの変更を検出してアプリケーションをブロックできますが、ブロックした時点ですでにマルウェアはインストールされているとのこと。テクノロジー系メディアのBleeping Computerは、「結論として、海賊版ソフトウェアはほとんどがマルウェアやアドウェアに感染しているため、P2Pネットワークから海賊版ソフトウェアをダウンロードしないことを推奨します」と述べています。

Appleはテクノロジー系メディア・9to5Macに対し、「Jamfの調査で引用された特定の亜種を含め、このマルウェアをブロックするためにXProtectの更新を続けています。さらに、このマルウェアファミリーはGatekeeperによる保護をバイパスしません。Mac App Storeは、Mac用ソフトウェアを入手するための最も安全な場所です」とコメントしました。

この記事のタイトルとURLをコピーする

・関連記事
イランが支援するハッカー集団がアメリカの政府機関をハッキング、Log4Shellを利用した仮想通貨のマイニングマルウェアを展開している - GIGAZINE

「NVIDIA製GPUのマイニング性能を改善する」ツールが実は悪質マルウェアだったと判明 - GIGAZINE

GitHubのサーバーを仮想通貨マイニングに利用する攻撃の存在が判明、GitHub Actionsを悪用 - GIGAZINE

MicrosoftとIntelが勝手に仮想通貨を採掘する「クリプトジャッキング」からデバイスを保護する機能を発表 - GIGAZINE

M1搭載Macを含む3万台のMacをターゲットとするマルウェア「Silver Sparrow」の存在が明らかに - GIGAZINE

「Macには許容できない量のマルウェアが存在している」とApple幹部が裁判で証言 - GIGAZINE

Apple系アプリ開発者を標的とするマルウェア「XCSSET」が新たな脆弱性を突いていることが判明 - GIGAZINE

「App Store以外からのアプリ入手」が実現するとマルウェアがあふれ出すとAppleの上級副社長がサイドローディング自由化を批判 - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.