Старинный авторитетный сайт заражал компьютеры Mac

Безопасность Стратегия безопасности Пользователю Интернет Веб-сервисы Техника
мобильная версия
, Текст: Роман Георгиев
Злоумышленники взломали старинный агрегатор обновлений программ для Mac и подменили ссылки на скачивание браузера Firefox и пакетов Deeper и OnyX, чтобы распространять таким образом майнер Monero. Сам майнер скачивался с облачного сервиса Adobe.

Вредонос распространялся через популярный сайт

Эксперт по безопасности компании SentinelOne Арно Аббати (Arnaud Abbati) обнаружил вредоносный криптомайнер, распространяющийся через популярный авторитетный сайт MacUpdate вместе со взломанными копиями браузера Firefox и пакетов OnyX и Deeper.

Вредонос OSX.CreativeUpdate в фоновом режиме эксплуатирует мощности центрального процессора зараженного компьютера для майнинга криптовалюты Monero. Непосредственно майнер скачивался из облака Adobe.

Администрация сайта MacUpdate признала свою ошибку, отметив, что ответственности разработчиков упомянутых программ в этом инциденте нет: хакеры обманули работников MacUpdate.

Как починить зараженный Mac

Зараженные копии инсталляторов уже заменены на официальные, и администраторы сайта опубликовали подробную инструкцию о том, как избавиться от вредоноса: удалить все копии зараженных программ; скачать и установить свежие копии; зайти в Finder, открыть домашнюю папку (Cmd-Shift-H); если папка Library не отображается, зажмите клавишу Option/Alt, выберите пункт Go, а затем - Library (Cmd-Shift-L); в папке Library найти папку mdworker (~/Library/mdworker/); удалить ее целиком; найти папку LaunchAgents (~/Library/LaunchAgents/) и удалить в ней файлы MacOS.plist и MacOSupdate.plist (~/Library/LaunchAgents/MacOSupdate.plist); очистить корзину (Trash) и перезагрузить систему.

Знаменитый сайт MacUpdate распространял вредоносный майнер криптовалюты

По словам Аббати, злоумышленники взломали MacUpdate и подменили официальные ссылки на скачивание на вредоносные. Например, OnyX и Deeper скачивались не с сайта компании-разработчика Titanium Software (titanium-software.fr), а с ресурса под названием titaniumsoftware.org, зарегистрированного 23 февраля 2017 г.; фальшивая версия Firefox скачивалась с домена download-installer.cdn-mozilla.net (никакого отношения к mozilla.net). Хакеры с успехом воспользовались старой уловкой, и с ее помощью смогли обвести вокруг пальца и владельцев MacUpdate, и конечных пользователей.

Вредоносы распространялись в виде инсталляторов («образов») .dmg, и процесс их установки не вызывал никаких подозрений.

Сразу после инсталляции, вредонос скачивает майнер с сайта public.adobecc.com (легитимного ресурса, принадлежащего Adobe) и пытается открыть приложение, используемое для маскировки, то есть браузер Firefox, Deeper или OnyX.

Слабое место трояна

Но как раз тут вредонос и может себя выдать: дело в том, что, например, официальный OnyX запускается только под MacOS 10.13. И если на компьютере жертвы стоит более ранняя версия, то «маскировочный» компонент - ожидаемое пользователем приложение - не запустится, в то время как майнер будет работать.

Еще забавнее получилось с «вредоносным вариантом» Deeper - хакеры подставили в качестве «маскировки» тот же OnyX. Это, а также тот факт, что OSX.CreativeUpdate написан с помощью генератора приложений Platypus, инструмента, который может превращать в готовое приложение набор скриптов, - хакеры не обладали особо высокой квалификацией.

Респектабельный с 1996 г. сайт

MacUpdate - очень старый и респектабельный агрегатор платных и бесплатных обновлений для ПО под Mac OS X. Он был создан еще в 1996 году, и функционирует до сих пор. Время от времени, впрочем, вокруг него возникают скандалы: например, в 2015 г. MacUpdate добавлял рекламное ПО к чужим программам. В 2016 г. неизвестные злоумышленники пытались использовать его для распространения вредоноса OSX.Eleanor.

Эксперты советуют устанавливать ПО только из официальных ресурсов Apple или с сайтов производителей.

«Вероятность того, что на стороннем сайте будет не легитимная версия нужной программы, а что-то вредоносное, куда выше, чем в случае с официальными ресурсами, - говорит Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Не стоит также и относиться к Mac OS X как к защищенной от вирусов системе: вредоносное ПО в избытке находится и для нее, пусть и в меньших, чем для Windows, количествах».