De risico’s van het downloaden van gepirateerde software zijn waarschijnlijk bij iedereen bekend. Apple heeft niet voor niets de Gatekeeper-technologie in macOS ingebouwd. Die komt bijvoorbeeld in actie als je iets van buiten de App Store installeert zonder officiële certificering van Apple.

Het Jamf Threat Labs heeft nu in gepirateerde versies van Apple’s Final Cut Pro malware gevonden die op dit moment in staat is om de detectie van Apple’s Gatekeeper te omzeilen. Deze versie draait in de achtergrond ook XMRig, de open source software voor het aanmaken van cryptomunten. Dit betekent dat je Mac in de achtergrond veel meer aan het doen is, waardoor die zal vertragen.



In het artikel dat Jamf Threat Labs  hierover heeft gepubliceerd is in detail te lezen hoe dit in zijn werk gaat. Het blijkt zo slim te zijn geprogrammeerd dat als je Activiteitenweergave (Activity Monitor) opstart de software zichzelf meteen deactiveert, zodat de gebruiker niet makkelijk kan zien wat de oorzaak van de vertraging van zijn of haar Mac is.

Apple heeft inmiddels ook al gereageerd op deze nieuwe malware:

We continue to update XProtect to block this malware, including the specific variants cited in JAMF’s research. Additionally, this malware family does not bypass Gatekeeper protections.

The Mac App Store provides the safest place to get software for the Mac. For software downloaded outside the Mac App Store, Apple uses industry-leading technical mechanisms, such as the Apple notary service and XProtect, to protect users by detecting malware and blocking it so it can’t run.

De vrije vertaling hiervan:

We blijven XProtect bijwerken om deze malware te blokkeren, inclusief de specifieke varianten die in het onderzoek van JAMF worden genoemd. Bovendien omzeilt deze malwarefamilie de Gatekeeper-bescherming niet.

De Mac App Store is de veiligste plaats om software voor de Mac te verkrijgen. Voor software die buiten de Mac App Store wordt gedownload, gebruikt Apple toonaangevende technische mechanismen, zoals de Apple notarisdienst en XProtect, om gebruikers te beschermen door malware te detecteren en te blokkeren zodat deze niet kan worden uitgevoerd.

Listig en slinks! Herkent het ook 'top'?

Dubbel gevoel hierbij ... Natuurlijk vervelend dat er mallware meelift met (bekende) software, maar het gaat hier om illegale versies van Final Cut Pro ... Een goede herinnering om geen illegale software van onbekende bronnen te downloaden; zie hier de risico's ...

... verder (gelukkig) een relatief onschuldig "virus", had natuurlijk ook heel anders kunnen zijn.

...Het blijkt zo slim te zijn geprogrammeerd dat als je Activiteitenweergave (Activity Monitor) opstart de software zichzelf meteen deactiveert...

De tip van de dag; gewoon ALTIJD Activiteitenweergave open hebben staan. 

De malware voert blijkbaar om de 3" een scriptje uit met o.m. dit commando:

pgrep -x 'Activity Monitor'
Blijkbaar zoekt het script dus niet op 'top', maar dat is dus makkelijk aan te passen.

@mcmt Daar heb je gelijk in. Maar het is heel makkelijk om top zelf even een andere naam te geven, lijkt mij stug dat ze daarop kunnen anticiperen.

Lijkt me nog stugger dat ze iets met je systeem kunnen als je gewoon Ethernet en WiFi even afzet als je het toch niet kan laten illegale soft te draaien ("air gappen")...
Daarenboven, zelfs met legale software paketten als Magic Q (DMX soft), Audacity en Reaper (DAW), QLab (AV presenter pakket), DVD Player en VLC (video presentatie), FCPX/  Da Vinci Resolve (video montage), Resolume Arena/ Arkaos Media Master (VJ soft) etc,
lijkt het me nog slim om je presentatie Mac van het Internet af te schakelen.

@HEXEDIY,
Het afsluiten van het internet werkt niet. Ik las elders:
"This is the third generation of malware, and it has adopted a new strategy: to install itself discreetly, without needing the admin password, on the Mac's storage volume and thus be able to run permanently. The downloaded file is an executable that installs and launches Final Cut Pro on one side, while installing and launching the malware on the other. So the malware works independently from Final Cut Pro...

Edit: is deze topic niet een beetje dubbel?.....Mag hier over (oplossingen van) illegale software gesproken worden?

@bacon
Ik vermoed dat HEXDIY hier naar een (ook mij) bekend praktijkprobleem verwijst: je wilt niet dat tijdens een presentatie of een theaterstuk opeens je besturingsprogramma weigert omdat er het internet even inbreekt met een update of zo
De programma’s die genoemd worden zoals Magic Q en Qlab en zo worden vooral ook in theaters gebruikt tijdens live uitvoeringen
(en dan heb ik het over de legale versies)

+1. Precies wat ik bedoelde Tarmac58!

De tip van de dag; gewoon ALTIJD Activiteitenweergave open hebben staan. 

Betere Tip: download geen illegale software, of software van bedenkelijke bron.

Ja joh? Zou dat de oplossing zijn?

Betere Tip: download geen illegale software, of software van bedenkelijke bron.

Dit nieuwsbericht is dan ook vooral bedoeld voor mensen die de verleiding niet kunnen weerstaan…

Kortom een bericht voor een zeer beperkte doelgroep. 

Nog eens een waarschuwing dat goedkoop duurkoop kan zijn lijkt me nooit weg.