Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

In Final Cut & Co: Warnung vor Cryptojacking durch gecrackte Mac-Apps

Malware für Cryptomining wird über gecrackte Mac-Apps verbreitet und verbirgt sich dabei immer besser, warnen Sicherheitsforscher. Apple reagiert.

In Pocket speichern vorlesen Druckansicht 2 Kommentare lesen

(Bild: Nanain/Shutterstock.com)

Lesezeit: 2 Min.
Mac & i
Von

Apple hat Updates für das in macOS integrierte Schutzsystem XProtect bereitgestellt, um Cryptojacking zu unterbinden. Der Hersteller reagiert damit auf neue Funde entsprechender Malware, die offenbar über gecrackte Versionen populärer Profi-Anwendungen wie Apples Final Cut Pro, Logic Pro und Adobe Photoshop ausgeliefert werden. Durch die Installation der manipulierten Software werde zugleich ein Cryptomining-Tool eingeschleust, berichtet das Sicherheitsteam des MDM-Anbieters Jamf berichtet.

Cryptominer versteckt sich immer besser

Die Malware liege inzwischen in der dritten Generation vor und verstecke sich immer besser, zur Kommunikation komme die dezentrale und verschlüsselte Netzwerkschicht i2P („Invisible Internet Project“) zum Einsatz, erläutern die Sicherheitsforscher – darüber werde das Mining-Tool von einem Server nachgeladen.

So kommt der Krypto-Miner bei der Installation der gecrackten Final-Cut-Version auf den Mac.

(Bild: Jamf)

Bestimmte Versionen des Skripts achteten offenbar darauf, ob der Nutzer die integrierte Aktivitätsanzeige öffnet, um etwa Auffälligkeiten in Hinblick auf die plötzlich unerwartet hohe Prozessorauslastung zu prüfen. Die Malware stoppe daraufhin ihre Aktivität, solange das Programm geöffnet ist. In der jüngsten Generation der Malware tarne sie ihre Prozesse als Systemprozesse der Spotlight-Suche wie mdworker_local, heißt es im Bereicht des Jamf Thread Labs.

Neue Sicherheitsfunktionen in macOS 13 Ventura verhindern zwar, dass die über The Pirate Bay per BitTorrent zum Download angebotenen manipulierte Versionen von Final Cut Pro und Logic Pro geöffnet wurden, das Mining-Tool konnte sich aber trotzdem einschleusen können, so die Sicherheitsforscher. Die manipulierte Photoshop-Version habe sich in macOS 13.2 aber normal starten lassen und den Krypto-Miner ebenfalls installiert. Neuere Macs mit Apples M-Chip seien wegen ihrer Prozessorleistung ein reizvolles Ziel für Cryptojacking, merkt Jamf an.

Apple aktualisiert XProtect

Apples XProtect-Update wird gewöhnlich automatisch von macOS geladen und installiert. Nutzer können in den Systeminformationen unter „Installationen“ prüfen, ob die XProtectPlistConfigData bereits in neuer Version 2166 vorliegt. XProtect blockiere diese Malware, betonte Apple in einer Stellungnahme gegenüber 9to5Mac – die Malware-Familie könne den Gatekeeper-Schutz zudem nicht umgehen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(lbe)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Mac OS X

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten