В пятницу 2 февраля эксперт в области кибербезопасности компании SentinelOne Арно Аббати (Arnaud Abbati) сообщил в своем твиттере о новом криптомайнере для компьютеров Apple. Вредонос, распространяемый порталом MacUpdate, маскируется под обновления браузера Firefox и пакетов OnyX и Deeper.

Разработчик зараженных приложений использовал утилиту Platypus, создающую служебные программы для Mac из открытых скриптов. Вплоть до установки они не отличаются от официальных: имеют расширение .dmg и требуют от пользователя тех же действий, что и “здоровые” версии.

Аббати назвал вирус OSX.CreativeUpdate: фальшивые обновления загружают майнер с Adobe Creative Cloud. Затем они должны для прикрытия установить настоящие приложения, однако в половине случаев это не получалось из-за ошибок, допущенных злоумышленниками.

Так, зараженный OnyX рассчитан на Mac OS X 10.7 Lion и более поздние версии, а настоящее приложение — на версии начиная с macOS 10.13 High Sierra, поэтому на части компьютеров оно не установилось. Что касается псевдо-Deeper, то в его случае разработчик перепутал имя программы-прикрытия, поэтому зловред тщетно пытался установить обновления для OnyX.

После попытки замаскироваться фальшивое приложение проверяет, установлен ли на компьютере вирус, и если нет — скачивает его и распаковывает в скрытую библиотеку. Кроме того, зловред загружает клиент запуска MacOSUpdate.plist, который, в свою очередь, заменяет MacOS.plist на зараженный аналог. Последний начинает майнить криптовалюту Monero и периодически подключается к сайту minergate.com.

Представители MacUpdate признали, что вредоносное ПО распространилось по компьютерам пользователей по вине портала и к официальным версиям приложений отношения не имеет. Портал допустил ошибку, поставив ссылки на сайты, мимикрирующие под веб-страницы производителей.

Так, OnyX и Deeper, продукты компании Titanium Software, загружались с titaniumsoftware.org вместо titanium-software.fr, а браузер Firefox — с download-installer.cdn-mozilla.net вместо mozilla.net.

Сотрудники MacUpdate принесли пользователям свои извинения и опубликовали инструкцию, как очистить компьютеры от майнера:

  • Удалить все копии зараженных приложений.
  • Загрузить и установить безопасные версии.
  • В Finder открыть домашнюю папку (Cmd-Shift-H)
  • Если папка Library не показывается, зажать кнопку Option/Alt и в меню Go выбрать Library (Cmd-Shift-L).
  • Найти папку mdworker и удалить ее.
  • Из папки LaunchAgents удалить MacOSUpdate.plist и MacOS.plist.
  • Очистить корзину и перезагрузить компьютер.

Категории: Вредоносные программы