Apple 威脅偵測及預防實驗平台 Jamf Threat Labs 研究報告指出,最新 macOS 加密貨幣挖礦軟體,正在透過盜版 Final Cut Pro 破解版大量傳送,甚至多數 Mac 防毒軟體都無法偵測到惡意軟體存在。
隱藏在 macOS 下的加密貨幣挖礦軟體 XMRing
Jamf 威脅實驗室安全研究人員發現,當前 macOS 系統出現 XMRig 惡意加密貨幣挖礦代碼,主要是利用合法開源加密挖礦指令來執行,就算功能不具備惡意,但是 XMRig 開源設計也變成熱門惡意軟體選擇之一。
調查報告顯示,XMRig 已經被隱藏在破解版 Final Cut Pro X 軟體下,只要用戶開啟軟體就會自動在背景自動執行腳本,該惡意軟體主要是利用 Invisible Internet Project (i2p) 進行通信,透過私有網路自動下載加密貨幣挖礦軟體,並以匿名化在 macOS 系統後台進行挖礦,同時會自動將開採的加密貨幣直接存入攻擊者加密貨幣錢包。
Jamf 安全研究員表示,目前夾帶惡意代碼 Final Cut Pro 破解版,無法被任何一款 VirusTotal 防毒軟體偵測,自今年 2023 年 1 月以來,有些防毒軟體開始能夠偵測加密挖礦木馬,遭修改過的 Mac 應用程式無法被偵測。
加料版 Mac 惡意加密貨幣挖礦來源
安全研究員也進一步追查受惡意軟體的 Final Cut Pro 破解版 DMG 來源,發現源頭來自全球最大的 BT 資源網站「海盜灣」(The Pirate Bay),是由擁有多年上傳盜版用戶所上傳。
瘋先生也發現,該名海盜灣加料帳號為 wtfisthat34698409672,從 2019 年就開始上傳夾帶加密貨幣挖礦惡意代碼破解軟體,主要分享破解版 Adobe Photoshop、Illustrator、InDesign、Apple Logic Pro X、Final Cut Pro 等。
如何判斷 macOS 感染 XMRing 惡意軟體?
要是正使用這類破解版 Final Cut Pro 或 Adobe 軟體,想確認 Mac 電腦是否有感染 XMRing 惡意軟體,只要開啟 macOS 內建「活動監視器」App,啟動大型 Mac 軟體後,觀察是否有偽裝 mdworker_shared
或 mdworker_local
應用程式正在被後執行,通常遭受 XMRig 感染設備,會佔用 80% 以上 GPU、CPU 運算資源,導致 Mac 電腦電量消耗更快、溫度升高。
XMRing 惡意軟體都會自動被重新命名為合法進程,很難讓用戶輕易發現,就算強制關閉,下次重新開啟遭受感染軟體,又會自動重新開啟,解決辦法只有避免使用盜版破解軟體。
Apple 針對研究發表聲明看法
最後 Jamf 也警告,未來 Mac 惡意軟體會比以往更多,攻擊者主要是看中 Apple Silicon 晶片強大運算能力。
Apple 也針對 Jamf 威脅實驗室報告對外發表聲明,表示將會持續更新 XProtect 阻止惡意軟體,並強調惡意軟體無法繞過 Gatekeeper 保護,建議用戶盡量透過 Mac App Store 合法管道下載 Mac 軟體,如果是其他第三方網站,Apple 也會使用 Apple 公證服務和 XProtect 等先進驗證機制,能夠檢測惡意軟體並防堵與保護 macOS 系統安全。
更多macOS實用技巧:
- 如何解決macOS Ventura 13 檔案已損毀無法打開技巧方法
- 如何在macOS App Store切換或登出Apple ID帳號?教你一鍵修改
- 教你檢查Mac SSD壽命與健康度,用macOS終端機即可查詢
來源:jamf
喜歡這篇文章教學,後續想了解更多Apple資訊、iPhone、Mac、3C隱藏技巧,歡迎追蹤 瘋先生FB粉絲團、瘋先生LINE@、訂閱瘋先生Google新聞、Telegram、Instagram以及 訂閱YouTube頻道,將會有更多非常實用的技巧教學分享給大家。