En ny cryptocurrency minearbejder leveret gennem MacUpdate er blevet afsløret ved sikkerhedseksperter. Den malware som blev opdaget af SentinelOne forsker Arnaud Abbati er blevet døbt OSX.CreativeUpdate. Den minearbejder kan opholde sig i baggrunden af systemet og bruge sin CPU til mine Monero.
Den Creative.Update Mac minearbejder blev distribueret gennem et hack på MacUpdate hjemmeside. Sitet blev hacket til at levere modificerede kopier af Firefox, Onyx og Dybere.
Creative.Update Mac Miner: Nærmere oplysninger om distribution
Minearbejder er en Platypus dropper der downloader en minearbejder fra Adobe Creative Cloud-servere. Platypus selv er et open source-udvikler værktøj, der skaber MacOS apps ved hjælp af forskellige scripts. Den minearbejder er bundlet med dårlige kopier af Firefox, Onyx og Dybere, siger forskerne. Den minearbejder forsøger at åbne apps, før du starter selv. Dette gøres for at minearbejder lægger lavt og ikke tiltrække sig opmærksomhed fra brugerne.
Denne adfærd, dog, er ikke altid en succes. Lad os tage Onyx app, der vil kun køre på Mac OS X 10.7 og højere. For at køre, den falske kopi behov MacOS 10.13 hvilket betyder, at minearbejder bliver aktiveret på systemer 10.7-10.12. Den falske app, dog, vil ikke åbne for at skjule ondsindet proces.
Tingene bliver endnu Messier med Dybere, som hackere brugte en onyx app i stedet for Dybere ved en fejl, der fører til malware ikke at køre.
Som for den MacUpdate hjemmeside - redaktionen forklarede, at de blev snydt af hackere til at give links til ondsindede bundter. Derfor, redaktionen forudsat instruktioner om hvordan vi kommer videre for at fjerne minearbejder malware.
Dette er, hvad der skal gøres:
- Slet alle kopier af de ovennævnte apps;
- Download og installer rene kopier;
- I Finder, åbne et vindue til hjemmet mappe ved hjælp Cmd + shift + H;
- I tilfælde mappen biblioteket vises ikke, hold Alternativ / ALT-tasten, derefter klikke på menuen Gå, og vælg Bibliotek;
- Find mdworker mappe;
- Slet hele mappen;
- Find de LaunchAgents mappen og slette MacOS.plist og MacOSupdate.plist;
- Tøm papirkurven bin og genstarte styresystemet.
Det skal bemærkes, at de download links til ondsindede apps var aktive i perioden februar 1 til februar 2, hvilket betyder, at alle brugere, der er downloadet i denne korte periode skal følge ovenstående trin.
Hvad er mest bekymrende om denne historie er MacUpdate manglende verificering af de produkter, det fordeler. Dette er en stor sikkerhed fejl, der ikke bør overses af brugerne. Det kan være en bedre idé at gå direkte til den officielle Mac App Store for eventuelle software downloads.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: