Вредонос распространялся через популярный сайт
Эксперт по безопасности компании SentinelOne Арно Аббати (Arnaud Abbati) обнаружил вредоносный криптомайнер, распространяющийся через популярный авторитетный сайт MacUpdate вместе со взломанными копиями браузера Firefox и пакетов OnyX и Deeper.
Вредонос OSX.CreativeUpdate в фоновом режиме эксплуатирует мощности центрального процессора зараженного компьютера для майнинга криптовалюты Monero. Непосредственно майнер скачивался из облака Adobe.
Администрация сайта MacUpdate признала свою ошибку, отметив, что ответственности разработчиков упомянутых программ в этом инциденте нет: хакеры обманули работников MacUpdate.
Как починить зараженный Mac
Зараженные копии инсталляторов уже заменены на официальные, и администраторы сайта опубликовали подробную инструкцию о том, как избавиться от вредоноса: удалить все копии зараженных программ; скачать и установить свежие копии; зайти в Finder, открыть домашнюю папку (Cmd-Shift-H); если папка Library не отображается, зажмите клавишу Option/Alt, выберите пункт Go, а затем - Library (Cmd-Shift-L); в папке Library найти папку mdworker (~/Library/mdworker/); удалить ее целиком; найти папку LaunchAgents (~/Library/LaunchAgents/) и удалить в ней файлы MacOS.plist и MacOSupdate.plist (~/Library/LaunchAgents/MacOSupdate.plist); очистить корзину (Trash) и перезагрузить систему.
По словам Аббати, злоумышленники взломали MacUpdate и подменили официальные ссылки на скачивание на вредоносные. Например, OnyX и Deeper скачивались не с сайта компании-разработчика Titanium Software (titanium-software.fr), а с ресурса под названием titaniumsoftware.org, зарегистрированного 23 февраля 2017 г.; фальшивая версия Firefox скачивалась с домена download-installer.cdn-mozilla.net (никакого отношения к mozilla.net). Хакеры с успехом воспользовались старой уловкой, и с ее помощью смогли обвести вокруг пальца и владельцев MacUpdate, и конечных пользователей.
Вредоносы распространялись в виде инсталляторов ("образов") .dmg, и процесс их установки не вызывал никаких подозрений.
Сразу после инсталляции, вредонос скачивает майнер с сайта public.adobecc.com (легитимного ресурса, принадлежащего Adobe) и пытается открыть приложение, используемое для маскировки, то есть браузер Firefox, Deeper или OnyX.
Слабое место трояна
Но как раз тут вредонос и может себя выдать: дело в том, что, например, официальный OnyX запускается только под MacOS 10.13. И если на компьютере жертвы стоит более ранняя версия, то "маскировочный" компонент - ожидаемое пользователем приложение - не запустится, в то время как майнер будет работать.
Еще забавнее получилось с "вредоносным вариантом" Deeper - хакеры подставили в качестве "маскировки" тот же OnyX. Это, а также тот факт, что OSX.CreativeUpdate написан с помощью генератора приложений Platypus, инструмента, который может превращать в готовое приложение набор скриптов, - хакеры не обладали особо высокой квалификацией.
Респектабельный с 1996 г. сайт
MacUpdate - очень старый и респектабельный агрегатор платных и бесплатных обновлений для ПО под Mac OS X. Он был создан еще в 1996 году, и функционирует до сих пор. Время от времени, впрочем, вокруг него возникают скандалы: например, в 2015 г. MacUpdate добавлял рекламное ПО к чужим программам. В 2016 г. неизвестные злоумышленники пытались использовать его для распространения вредоноса OSX.Eleanor.
Эксперты советуют устанавливать ПО только из официальных ресурсов Apple или с сайтов производителей.
"Вероятность того, что на стороннем сайте будет не легитимная версия нужной программы, а что-то вредоносное, куда выше, чем в случае с официальными ресурсами, - говорит Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Не стоит также и относиться к Mac OS X как к защищенной от вирусов системе: вредоносное ПО в избытке находится и для нее, пусть и в меньших, чем для Windows, количествах".