Apple hat Updates für das in macOS integrierte Schutzsystem XProtect bereitgestellt, um Cryptojacking zu unterbinden. Der Hersteller reagiert damit auf neue Funde entsprechender Malware, die offenbar über gecrackte Versionen populärer Profi-Anwendungen wie Apples Final Cut Pro, Logic Pro und Adobe Photoshop ausgeliefert werden. Durch die Installation der manipulierten Software werde zugleich ein Cryptomining-Tool eingeschleust, berichtet das Sicherheitsteam des MDM-Anbieters Jamf berichtet. Die Malware liege inzwischen in der dritten Generation vor und verstecke sich immer besser, zur Kommunikation komme die dezentrale und verschlüsselte Netzwerkschicht i2P („Invisible Internet Project“) zum Einsatz, erläutern die Sicherheitsforscher – darüber werde das Mining-Tool von einem Server nachgeladen. Bestimmte Versionen des Skripts achteten offenbar darauf, ob der Nutzer die integrierte Aktivitätsanzeige öffnet, um etwa Auffälligkeiten in Hinblick auf die plötzlich unerwartet hohe Prozessorauslastung zu prüfen. Die Malware stoppe daraufhin ihre Aktivität, solange das Programm geöffnet ist. In der jüngsten Generation der Malware tarne sie ihre Prozesse als Systemprozesse der Spotlight-Suche wie mdworker_localheißt es im Bereicht des Jamf Thread Labs. Neue Sicherheitsfunktionen in macOS 13 Ventura verhindern zwar, dass die über The Pirate Bay per BitTorrent zum Download angebotenen manipulierte Versionen von Final Cut Pro und Logic Pro geöffnet wurden, das Mining-Tool konnte sich aber trotzdem einschleusen können, so die Sicherheitsforscher. Die manipulierte Photoshop-Version habe sich in macOS 13.2 aber normal starten lassen und den Krypto-Miner ebenfalls installiert. Neuere Macs mit Apples M-Chip seien wegen ihrer Prozessorleistung ein reizvolles Ziel für Cryptojacking, merkt Jamf an. Apples XProtect-Update wird gewöhnlich automatisch von macOS geladen und installiert. Nutzer können in den Systeminformationen unter „Installationen“ prüfen, ob die XProtectPlistConfigData bereits in neuer Version 2166 vorliegt. XProtect blockiere diese Malware, betonte Apple in einer Stellungnahme gegenüber 9to5Mac – die Malware-Familie könne den Gatekeeper-Schutz zudem nicht umgehen.

Quelle: Heise