Společnost Jamf Threat Labs zabývající se kybernetickou bezpečností našla v pirátských kopiích aplikace Final Cut Pro malware pro macOS. Společnost tvrdí, že malware pro kryptojacking byl obzvláště dobře skrytý a většina bezpečnostních aplikací pro Mac ho nezjistila.
Jamf také varoval, že síla čipu Apple Silicon z nich dělá stále oblíbenější cíle pro cryptojacking – kde malware využívá značný výpočetní výkon vašeho počítače k těžbě kryptoměn ve prospěch útočníků. Není žádným překvapením, že pirátský software často obsahuje malware a kryptojacking je jedním z častějších příkladů. Je to vážný problém, protože malware bude využívat velké množství výkonu vašeho zařízení a zbude tak méně energie pro spouštění vašich vlastních aplikací. macOS obvykle tento typ malwaru detekuje.
Společnost Jamf Threat Labs však našla malware, kterému se podařilo uniknout detekci – zpočátku všemi bezpečnostními aplikacemi pro Mac. Během posledních několika měsíců Jamf Threat Labs sledoval řadu malwaru, který se znovu objevil a fungoval nedetekován.
„Během rutinního monitorování našich detekcí hrozeb jsme narazili na výstrahu indikující použití XMRig, nástroje pro těžbu kryptoměn z příkazového řádku. I když se XMRig běžně používá pro legitimní účely, jeho přizpůsobivý design s otevřeným zdrojovým kódem z něj také učinil oblíbenou volbu pro hackery. Tato konkrétní relace nás zajímala, protože byla spouštěna pod softwarem pro úpravu videa Final Cut Pro vyvinutého společností Apple. Další vyšetřování odhalilo, že se jedná o upravenou škodlivou verzi Final Cut Pro, která na pozadí spouštěla XMRig.
První generace používala API k získání oprávnění potřebných k instalaci Launch Daemon. To však vyžadovalo potvrzení hesla od uživatele, což malware prozradí. Druhá generace přešla na Launch Agent, který odstranil požadavek na heslo, ale spustil by se pouze tehdy, když uživatel otevřel aplikaci. Třetí generace byla místem, kde se malware stal opravdu záludným. Malware se skryje se také v Monitoru aktivity. S macOS Ventura Apple výrazně zvýšil ochranu proti malwaru. Původně Gatekeeper kontroloval aplikace pouze při prvním otevření. Pokud prošli touto kontrolou, byli označeni jako bezpečné. V macOS Ventura Gatekeeper kontroluje, zda aplikace nebyly změněny, když jsou následně otevřeny. V některých případech to vede k zobrazení chybové zprávy, že aplikace je poškozená a nelze ji otevřít. V tomto okamžiku však již byl malware nainstalován.