Февраль 6, 2018 3:23 | Bitdefender Россия |

Арно Аббати (эксперт по безопасности компании SentinelOne) обнаружил вредоносный криптомайнер, который распространялся через популярный сайт MacUpdate вместе со взломанными копиями браузера Firefox и пакетов OnyX и Deeper.

Вредоносный майнер скачивался из облака Adobe и в фоновом режиме эксплуатировал мощность центрального процессора,
зараженного для майнинга криптовалюты Monero, компьютера. Администрация сайта MacUpdate признала свою ошибку, отметив, что хакеры обманули сотрудников MacUpdate.

Арно Аббати утверждает, что злоумышленники взломали MacUpdate и подменили официальные ссылки на скачивание на вредоносные (OnyX и Deeper скачивались не с сайта разработчика Titanium Software, а с сайт с похожим названием titaniumsoftware.org, который был зарегистрирован 23 февраля 2017 г.. Хакерская версия Firefox скачивалась с домена download-installer.cdn-mozilla.net, а не с официального ресурса mozilla.net).

Хакеры оказались весьма хитрыми и для совершения своей операции воспользовались достаточно старой уловкой. Вредоносные программы они распространяли в виде инсталляторов .dmg. Процесс инсталляции не вызывал никаких подозрений у пользователей. Как только программа установлена на устройство, она тут же начинает скачивать майнер с сайта public.adobecc.com (легитимный ресурс, принадлежащий Adobe) и открывает приложение, которое используется для маскировки, то есть браузер Firefox, Deeper или OnyX.

Однако у трояна есть слабое место:
OnyX запускается только под MacOS 10.13, если у пользователя стоит более ранняя версия, то маскировка, на которую так рассчитывал хакер, не сработает, майнер в это время будет активно действовать.

Следует отметить, что MacUpdate — очень старый и респектабельный агрегатор обновлений для программного обеспечения под Mac OS X. Он был создан в 1996 году, и функционирует до сих пор. Однако его работа несколько раз была подвержена скандалам. Например в 2015 г. MacUpdate добавлял рекламное программное обеспечение к чужим программам. А в 2016 г. неизвестные злоумышленники пытались использовать его для распространения вредоноса OSX.Eleanor.

Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services, рекомендует устанавливать ПО только из официальных ресурсов Apple и с сайтов производителей.
«Вероятность того, что на стороннем сайте будет не легитимная версия нужной программы, а что-то вредоносное, куда выше, чем в случае с официальными ресурсами. Не стоит также и относиться к Mac OS X как к защищенной от вирусов системе: вредоносное ПО в избытке находится и для нее, пусть и в меньших, чем для Windows, количествах» — говорит Олег Галушкин.

Администрация сайта уже заменила заражённые копии инсталляторов на официальные и опубликовала подробную инструкцию о том, как избавиться от вредоносной программы:
1. удалить все копии зараженных программ;
2. скачать и установить свежие копии;
3. зайти в Finder, открыть домашнюю папку (Cmd-Shift-H);
4. если папка Library не отображается, зажмите клавишу Option/Alt, выберите пункт Go, а затем — Library (Cmd-Shift-L);
5. в папке Library найти папку mdworker (~/Library/mdworker/);
6. удалить ее целиком;
7. найти папку LaunchAgents (~/Library/LaunchAgents/) и удалить в ней файлы MacOS.plist и MacOSupdate.plist (~/Library/LaunchAgents/MacOSupdate.plist);
8. очистить корзину (Trash);
9. перезагрузить систему.

Во избежание подобных случаев заражения устройства эксперты в области информационной безопасности рекомендуют устанавливать качественные антивирусные программы такие, как Bitdefender Total Security. Он незаметно будет стоять на страже Вашей безопасности.