Die Jamf Threat Labs haben am 23. Februar vor einer neuen Malware-Bedrohung für macOS gewarnt, die Krypto-Mining-Software installiert und ausführt. Die Malware ist an Raubkopien von Final Cut Pro angehängt, die auf einschlägigen Seiten im Internet zu finden sind.
Die raubkopierten Versionen von Final Cut Pro sind mit einem Krypto-Mining-Tool namens XMRig versehen. Wenn die Software heruntergeladen und installiert wird, wird XMRig im Hintergrund gestartet. Jamf berichtet, dass im Januar nur eine Handvoll” Malware-Schutzprogramme die versteckte XMRig-Installation erkennen konnten.
So schwächt Krypto-Mining den Mac
XMRig selbst wird oft rechtmäßig von Krypto-Minern verwendet, aber da es sich um ein Open-Source-Programm handelt, wird es oft für illegale Zwecke wie diesen verwendet. Wenn XMRig im Hintergrund läuft, verbraucht der Mac Verarbeitungsressourcen für die Mining-Aufgaben, was die Leistung beeinträchtigt.
Lesetipp: Antivirus für den Mac: 7 Programme im Vergleich
Laut Jamf verwendet diese Malware-Installation i2p, um die geschürfte Kryptowährung an die Geldbörse des Angreifers zu senden und bösartige Softwarekomponenten auf den Mac herunterzuladen. Das i2p-Netzwerkprotokoll ist auf Datenschutz ausgelegt; es ist verschlüsselt und verwendet einen Tunnel, der nur vom Benutzer, dem Server und allen anderen, denen Zugang gewährt wurde, genutzt wird. Wie XMRig hat auch i2p legitime Verwendungszwecke, aber wenn es von Malware verwendet wird, wird es schwieriger, Netzwerkaktivitäten zu verfolgen.
Die Recherchen von Jamf ergaben, dass die Quelle der Malware seit 2019 raubkopierte Versionen von Final Cut Pro hochlädt und dass die Malware clever genug ist, um eine Erkennung durch die Activity Monitor App von macOS zu vermeiden. Wenn Activity Monitor gestartet wird, stoppt XMRig die Ausführung und wird erneut gestartet, wenn der Benutzer Activity Monitor beendet.
Apple reagiert mit schnellem Update
In einer Erklärung bestätigte Apple die Malware und erklärte, dass macOS Xprotect aktualisiert wurde, um “die in der Jamf-Studie genannten Varianten” zu blockieren und sicherzustellen, dass die Malware “den Gatekeeper-Schutz nicht umgeht”. Apple hat Gatekeeper in macOS Ventura verstärkt, um Apps kontinuierlich zu überprüfen und um sicherzustellen, dass sie korrekt signiert sind und nicht verändert wurden. Frühere Versionen von macOS belassen es hingegen bei einer ersten Überprüfung.
Der Download der raubkopierten App erfolgt in der Regel über einen Torrent-Client, und da diese Clients keine Quarantäne-Attribute anwenden, umgehen die Downloads die Validierungsprüfungen von macOS Monterey. Mit macOS Ventura jedoch besteht die Raubkopie von Final Cut Pro die Validierung nicht und wird nicht gestartet, aber die illegale Installation von XMRig findet trotzdem statt, und das Mining im Hintergrund geht weiter.
Dieser Malware-Angriff ist genau der Grund, warum Apple möchte, dass Sie im App Store einkaufen, wo Apple jede Anwendung überprüft, um sicherzustellen, dass sie keine Malware enthält. Mit der Zeit werden immer mehr Sicherheitsanwendungen von Drittanbietern diesen Angriff erkennen und Schutz bieten (Jamf weist darauf hin, dass dieser Angriff von seinem Dienst Protect Threat Prevention blockiert wird).
Am einfachsten lässt sich dieser Angriff vermeiden, indem man einfach keine raubkopierte Software verwendet. Die offizielle Version von Final Cut Pro kostet 300 US-Dollar, es gibt jedoch eine kostenlose 90-Tage-Testversion.
Lesetipp: Warum Sie Antivirus-Programm für den Mac brauchen
Dieser Artikel ist zuerst bei Macworld.com erschienen und wurde aus dem Englischen übersetzt
Autor: Roman Loyola, Senior Editor
Roman has covered technology since the early 1990s. His career started at MacUser, and he's worked for MacAddict, Mac|Life, and TechTV.