Final Cut Pro, le logiciel de montage vidéo d’Apple, coûte 349,99€, mais il existe des versions piratées sur Internet. Il se trouve que certaines d’entre elles comprennent un malware qui se charge de miner des cryptomonnaies sur le Mac.

Final Cut Pro Application Mac

Attention au malware dans Final Cut Pro

Jamf Threat Labs a découvert que le malware dans les versions piratées de Final Cut Pro était bien caché, au point que plusieurs logiciels de sécurité (dont les antivirus/antimalware) n’ont rien détecté. Cela passait par XMRig, un outil en ligne de commande qui permet de miner des cryptomonnaies. Bien que XMRig soit couramment utilisé à des fins légitimes, sa conception adaptable et ouverte en a également fait un choix populaire pour les acteurs malveillants.

La méthode utilisée pour dissimuler le logiciel malveillant à la détection est quelque peu complexe, et Jamf a déclaré qu’il était bien mieux déguisé que les deux premières générations. La première génération utilisait une API pour obtenir les privilèges nécessaires à l’installation d’un démon de lancement sur macOS. Cependant, l’utilisateur devait entrer et confirmer son mot de passe, ce qui était plutôt gênant pour les hackers. La deuxième génération est passée à un agent de lancement, qui n’exigeait pas de mot de passe, mais ne s’exécutait que lorsque l’utilisateur ouvrait l’application. La troisième génération est celle où le malware est devenu vraiment sournois.

Malwares Mac Generations

Explication du fonctionnement

Lorsque l’utilisateur double-clique sur l’icône de Final Cut Pro, l’exécutable modifié s’exécute et lance les appels shell pour orchestrer la configuration du logiciel malveillant. Le même exécutable contient deux gros blobs s’appuyant sur base64 qui sont décodés par des appels shell. Le décodage de ces deux blobs donne lieu à deux archives tar correspondantes.

L’une contient une copie fonctionnelle de Final Cut Pro. L’autre blob encodé en base64 se décode en un exécutable personnalisé responsable de la gestion du trafic i2p chiffré — ip2 étant une alternative à TOR. Une fois que les données intégrées ont été décodées et désarchivées, les composants résultants sont écrits dans le répertoire /private/tmp/ en tant que fichiers cachés.

Après avoir exécuté l’exécutable 12p, le script d’installation utilise curl sur i2p pour se connecter au serveur Web de l’auteur malveillant et télécharger les composants de XMRig qui effectuent l’extraction secrète. La version de Final Cut Pro qui est lancée et présentée à l’utilisateur est appelée depuis ce répertoire et finalement supprimée du disque.

Une méthode pour se cacher

D’autre part, le logiciel malveillant dispose de moyens astucieux pour se cacher si un utilisateur se méfie du ralentissement de son Mac et ouvre le Moniteur d’activité pour vérifier les processus en cours. Le script exécute une boucle continue qui vérifie la liste des processus en cours toutes les 3 secondes, à la recherche du Moniteur d’activité. S’il le trouve, il met immédiatement fin à tous ses processus malveillants.

En outre, les processus malveillants sont renommés en processus légitimes utilisés au niveau de Spotlight, de sorte que même si l’utilisateur repère leur brève apparition, cela ne déclenchera aucun signal d’alarme. Le malware est ensuite relancé la prochaine fois que l’utilisateur ouvrira l’application compromise.

La réaction d’Apple

Apple a fait une déclaration suite à la discussion de ce malware avec Final Cut Pro :

Nous continuons à mettre à jour XProtect pour bloquer ces logiciels malveillants, y compris les variantes spécifiques citées dans la recherche de JAMF. En outre, cette famille de logiciels malveillants ne contourne pas les protections de Gatekeeper.

Le Mac App Store est l’endroit le plus sûr pour obtenir des logiciels pour le Mac. Pour les logiciels téléchargés en dehors du Mac App Store, Apple utilise des mécanismes techniques de pointe, tels que le service notarial d’Apple et XProtect, pour protéger les utilisateurs en détectant les logiciels malveillants et en les bloquant afin qu’ils ne puissent pas s’exécuter.