Tác hại khi tải Photoshop, Final Cut Pro lậu về MacBook

 

Mã độc, lợi dụng thiết bị Mac để khai thác tiền điện tử, có thể được tìm thấy trong các bản lậu của Final Cut Pro. Ảnh: Tech Crunch.

Công ty an ninh mạng Jamf Threat Labs mới đây tiếp tục phát hiện phần mềm độc hại lợi dụng các thiết bị Mac của người dùng để khai thác tiền điện tử, hay còn gọi là cryptojacking, trong bản lậu của Final Cut Pro và Photoshop.

Mặc dù không mới nhưng loại phần mềm độc hại này lần này được ẩn kỹ và không bị các ứng dụng bảo mật Mac phát hiện.

Mac là mục tiêu hấp dẫn của phần mềm độc hại

Các loại tiền điện tử như Bitcoin ngày càng khó khai thác hơn, đòi hỏi nhiều tài nguyên GPU hơn. Nhiều kẻ xấu sử dụng phần mềm độc cryptojacking, lợi dụng vi xử lý trên các thiết bị laptop, máy tính trong tay người dùng phổ biến, để có sức mạnh tính toán cần thiết mà không cần đầu tư thiết bị.

Khi xâm nhập vào thiết bị, cryptojacking sẽ liên tục chạy dưới nền, khai thác tiền điện tử, làm máy giật, lag, hao pin và khai thác tiền điện tử. Phần mềm độc hại này thường được "gắn" trong bản lậu của Photoshop, Logic Pro, Final Cut Pro.

macbook anh 1

Pirate Bay, một trang tải phần mềm lậu nổi tiếng, là nguồn gốc của các phần mềm độc cryptojacking trên Mac mới bị phát hiện. Ảnh: 123rf.

Theo Jamf, sức mạnh của các vi xử lý M1, M2 khiến thiết bị trở thành mục tiêu hấp dẫn của cryptojacking. Phần mềm độc hại thường không thể vượt qua được phần mềm bảo mật tích hợp sẵn trên thiết bị Mac.

Tuy nhiên, gần đây Jamf Threat Labs đã phát hiện ra một phần mềm độc hại khai thác tiền điện tử trên máy Mac mà không bị phát hiện.

Phần mềm độc ẩn sau Final Cut Pro, Photoshop lậu

Theo các nhà phân tích từ Jamf, "Trong quá trình theo dõi định kỳ các mối đe, chúng tôi đã phát hiện ra XMRig, một công cụ dòng lệnh khai thác tiền điện tử chạy dưới vỏ bọc của phần mềm chỉnh sửa video do Apple tạo ra, Final Cut Pro."

Điều tra kỹ hơn cho thấy đây là một phiên bản Final Cut Pro độc hại đã được sửa đổi để chạy XMRig trong nền. Nguồn là một tài khoản Pirate Bay nổi tiếng thường xuyên chia sẻ bản lậu của Photoshop, Logic Pro và Final Cut Pro.

Khi người dùng nghi ngờ máy chạy chậm, lag và mở Activity Monitor để kiểm tra, phần mềm độc hại này cũng có cách che giấu hoạt động. Phần mềm cryptojacking sẽ quét xem Activity Monitor có đang hoạt động hay không cứ sau ba giây. Nếu có, nó sẽ chấm dứt tất cả các quy trình khai thác ngay lập tức.

Ngoài ra, các quy trình phần mềm độc hại được đổi tên thành các quy trình tiêu chuẩn do Spotlight sử dụng. Do đó, ngay cả khi người dùng nhìn thấy trong 3 giây trước khi quy trình biến mất, họ có thể sẽ không để ý có phần mềm độc đang chạy khi sử dụng Activity Monitor.

Các chuyên gia cũng tìm thấy các cryptojacking tương tự được giấu sau một bản Photoshop lậu. Theo Jamf, Gatekeeper, phần mềm quét ứng dụng độc hại trên MacOS, nhiều lần che giấu các phần mềm độc hại này.

Apple đã thông báo sau khi Jamf công bố phát hiện rằng chúng tôi tiếp tục cập nhật XProtect để chặn các phần mềm độc hại này, bao gồm các biến thể cụ thể được nhắc đến trong nghiên cứu của Jamf. Hãng cũng lưu ý rằng Mac App Store là nơi an toàn nhất để tải phần mềm từ Mac.

Nhóm người săn lùng mã độc nguy hiểm nhất thế giới công nghệ

Trong quyển sách mới, Renee Dudley và Daniel Golden đưa độc giả đến gần hơn với cuộc chiến thầm lặng của các chuyên gia công nghệ toàn cầu chống lại kẻ đứng sau ransomware.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống