【貪字得個貧】挖礦軟件植入盜版Final Cut Pro 專攻macOS用家
雖然大部分針對電腦攻擊的惡意軟件都以 Windows 為對象,但也不代表其他作業系統用家可以放任使用電腦。Jamf Threat Labs 網絡安全研究員發表的一份安全報告顯示,黑客將加入挖礦功能的影片編輯軟件 Final Cut Pro 上載盜版網站,等待 macOS 用家下載使用,而且絕大多數安全軟件都不會對這款挖礦惡意軟件響起警號。貪免費貪方便下載盜版軟件?最終都要付出代價。
雖則大家都知不應下載盜版或破解版軟件,但當部分專業軟件要用數千元購買,有人就會心存僥倖冒險下載盜版使用。例如這次被發現的挖礦程式攻擊,黑客便將惡意功能植入售價約 2,000 多元港幣的 macOS 版 Final Cut Pro 內,再上載至盜版軟件網站 The Pirate Bay 等待受害者中招。
一旦有人安裝使用,專門用於挖掘門羅幣(monero)的惡意程式就會被執行。研究員指出,雖然一般挖礦程式會佔有大量運算資源,但黑客巧妙地加入一項隱藏功能,就是當發現用家正打開 macOS 的系統執行程序列表時,挖礦程式便會即時終止運作,令用家無法發現已被感染。
Jamf Threat Labs 安全研究員又指出,由這個黑客控制的挖礦感染攻擊,最早可以追遡至 2020 年 8 月,黑客更一直為挖礦程式加入新元素,令惡意功能更難被發現。根據對捕獲的病毒樣本作出分析後,研究員說挖礦程式雖然一直以挖掘門羅幣為目標,但按其功能大體可分為三個時期。
第一代(8 / 2020 至 4 / 2021):這時期的挖礦惡意編碼,會隨盜版軟件一起下載至受害者電腦內,並利用 Daemon 進程在每次開機前自動載入系統。為瞞過安全防護工具,會經 i2p(invisible internet project)隱藏與黑客 C&C 控制中心的溝通。研究員指最後一項技術貫穿三代版本,且現時絕大部分安全軟件只能捕捉到第一代版本。
第二代(4 / 2021 至 5 / 2022):基本上與第一代相若,但改變為與盜版軟件共同起動,而 i2p 數據傳送亦會經 base64 解密。
第三代(10 / 2021 – ):黑客繼續與時並進,採用階段式流程將惡意編碼斬件帶入電腦,以避開安全工具的偵測。另外,挖礦程式亦會偽裝為 macOS Spotlight 的運行程序,令用家更難發現程式正在運行。
研究員指,第三代現已成為該黑客唯一繼續使用的挖礦程式,代表它的性能及隱密性有一定水準。除了 Final Cut Pro,研究員說黑客試過將病毒植入 Photoshop 等工具,雖然被偷用資源挖礦的損失不算嚴重,但難保黑客有朝一日會改變用途,所以還是應該遠離盜版。
相關文章:【殺豬盤】「港女」扮識前高盛分析師 教用假MetaTrader4買賣黃金
