Een nieuwe cryptogeld mijnwerker geleverd via MacUpdate is ontdekt door security onderzoekers. De malware die werd ontdekt door SentinelOne onderzoeker Arnaud Abbati is wel OSX.CreativeUpdate. De mijnwerker kan zich op de achtergrond van het systeem en het gebruik van de CPU de mijne Monero.
De Creative.Update Mac mijnwerker werd verspreid via een hack op de MacUpdate website. De site werd gehackt tot de gewijzigde exemplaren van Firefox te leveren, OnyX en Deeper.
Creative.Update Mac Miner: Details van Distribution
De mijnwerker is een Platypus dropper dat downloadt een mijnwerker van Adobe Creative Cloud-servers. Platypus zelf is een open-source-ontwikkelaar tool die MacOS apps creëert met behulp van verschillende scripts. De mijnwerker is gebundeld met slechte kopieën van Firefox, OnyX en Deeper, onderzoekers zeggen. De mijnwerker probeert de apps te openen voor zichzelf te beginnen. Dit wordt gedaan zodat de mijnwerker legt laag is en niet de aandacht van de gebruikers aan te trekken.
Dit gedrag, echter, is niet altijd succesvol. Laten we de OnyX app, die zal alleen draaien op Mac OS X 10.7 en hoger. Om te lopen, de nep-exemplaar moet MacOS 10.13 wat betekent dat de mijnwerker wordt geactiveerd op systemen 10.7-10.12. De nep-app, echter, zal niet open voor het kwaadaardige proces te verbergen.
Dingen krijgen nog slordiger met Deeper, als hackers gebruikten een OnyX app in plaats van Deeper per ongeluk leidt tot de malware niet meer werkt.
Wat de MacUpdate website - de redactie uitgelegd dat ze voor de gek gehouden door de hackers om links naar de kwaadaardige bundels bieden. Bijgevolg, de redactie bijgeleverde instructies over hoe om te gaan naar de mijnwerker malware te verwijderen.
Dit is wat er moet gebeuren:
- Verwijder alle kopieën van de hierboven genoemde apps;
- Download en goede kopieën te installeren;
- in Finder, opent een venster voor de home directory met behulp van Cmd + shift + H;
- In het geval dat de map Library niet weergegeven, houdt u de Option / ALT-toets, klik dan op het menu Ga en kies Bibliotheek;
- Zoek de map mdworker;
- Verwijder de hele map;
- Zoek de map LaunchAgents en verwijder MacOS.plist en MacOSupdate.plist;
- Leeg de bak van het afval en het besturingssysteem opnieuw op te starten.
Opgemerkt dient te worden dat de download links voor de kwaadaardige apps waren actief vanaf februari 1 tot februari 2, wat betekent dat alle gebruikers die in deze korte periode gedownload van de bovenstaande stappen moeten volgen.
Wat is het meest verontrustend over dit verhaal is gebrek aan controle MacUpdate's van de producten verdeelt. Dit is een belangrijke security storing die niet mag worden vergeten door de gebruikers. Het is misschien een beter idee om direct naar de officiële Mac App Store voor alle software downloads zijn.