Los investigadores de seguridad han descubierto un malware basado en Mac en gran parte no detectado que ha estado circulando a través de descargas de software pirateado.
Los resultados(Se abre en una nueva ventana) provienen del proveedor de seguridad Jamf, que descubrió el malware en una versión pirata del software de edición de video Final Cut Pro de Apple, que normalmente cuesta $ 299.99.
Jamf detectó por primera vez el malware que extraía criptomonedas en secreto en la computadora Mac de un cliente. «Esta muestra en particular no fue detectada como maliciosa por ningún proveedor de seguridad en VirusTotal. Desde enero de 2023, un puñado de proveedores ha detectado el malware», dijo.
Dado que el malware llegó a través de una versión no autorizada y modificada de Final Cut Pro, Jamf recurrió a The Pirate Bay, un sitio web conocido por ofrecer software pirateado a través de torrents.
“Descargamos el torrent más reciente (para Final Cut Pro) con el mayor número de seeders y verificamos el hash del ejecutable de la aplicación. Coincidía con el hash del Final Cut Pro infectado que habíamos descubierto en la naturaleza. Ahora teníamos nuestra respuesta”, dijeron los investigadores de seguridad.
(Crédito: The Pirate Bay)
Según Jamf, un cargador en The Pirate Bay llamado «wtfisthat34698409672», que tiene un historial de años de publicación de software pirata de Mac, es responsable no solo de hacer circular el malware, sino también de impulsar otras variantes del código malicioso. Esto incluye publicar versiones cargadas de malware de Logic Pro y Photoshop.
“Además, descubrimos que prácticamente cada una de las docenas de cargas que comenzaron en 2019 estaban comprometidas con una carga útil maliciosa para extraer criptomonedas de forma subrepticia”, dijo Jamf.
El malware en sí comparte similitudes con otra muestra que descubrió el proveedor de antivirus Trend Micro.(Se abre en una nueva ventana) Hace un año. En ese momento, Trend Micro no pudo descubrir la fuente exacta, pero especuló que la infección provenía de una instalación de Adobe Photoshop CC.
Jamf dice que el malware ha estado evolucionando desde 2019, cuando el pirata informático comenzó a cargar el software Mac pirata pero malicioso. Curiosamente, el malware contiene una función que verificará si el usuario ha accedido a la aplicación Monitor de actividad de Mac, que puede mostrar el uso de la CPU.
Recomendado por Nuestros Editores
“Si encuentra el Monitor de actividad, finaliza inmediatamente todos sus procesos maliciosos”, dijo Jamf. “Como resultado, si la víctima nota que su CPU se está calentando más de lo normal mientras, sin darse cuenta, extrae criptografía para el atacante y abre el Monitor de actividad para confirmar su sospecha, el malware detiene su actividad y se oculta hasta la próxima vez que la víctima inicie el solicitud.»
Sin embargo, Jamf descubrió que el malware puede tener problemas para ejecutarse en el recién lanzado macOS Ventura, gracias a las nuevas medidas de seguridad en el sistema operativo. La versión pirateada de Final Cut Pro no se iniciará en macOS Ventura, lo que generará un mensaje de error. Dicho esto, el minero de criptomonedas incrustado en secreto en el software pirateado aún puede ejecutarse.
Jamf también señaló que el pirata informático podría actualizar el malware para intentar eludir las restricciones de seguridad en macOS Ventura. “En el momento de escribir este artículo, el Photoshop pirateado cargado por wtfisthat34698409672 todavía lanza con éxito tanto los componentes maliciosos como los que funcionan en la última versión de macOS Ventura 13.2 y anteriores”, agregó la compañía.
La investigación es un recordatorio para tener cuidado al descargar productos pirateados. El software pirata ha sido durante mucho tiempo una forma en que los piratas informáticos pueden infiltrar malware en las computadoras. El cargador wtfisthat34698409672 permanece activo en The Pirate Bay.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.