新型Mac加密货币挖矿恶意软件正通过MacUpdate网站分发


在上周五,网络安全公司SentinelOne的安全研究员Arnaud Abbati通过推特发布了关于一种新型Mac恶意软件正在通过MacUpdate网站分发的消息。这个恶意软件被Abbati命名为“OSX.CreativeUpdate”,是一个新的加密货币矿工,被设计运行在后台,并使用受感染计算机的CPU资源进行门罗币(Monero)开采。

MacUpdate是一个供用户学习下载新的Mac、iPhone 和iPad应用程序的网站,用户可以在网站上阅读最新的软件评论,这些评论往往都是由世界知名企业的专业人士发布的。从而,用户可以找到正在使用的应用程序的替代程序,并可以使用MacUpdate网站推出的应用程序进行系统更新,以保证自己的设备安全运行。

根据MacUpdate网站发表的声明,这个恶意软件是通过入侵MacUpdate网站的黑客传播的,入侵事件大概发生在2月1日的某个时间段。

导致用户遭到恶意软件感染的原因很简单,MacUpdate网站提供的官方下载链接遭到了黑客的替换。被利用的应用程序包括Firefox、OnyX和Deeper,当用户通过MacUpdate网站下载这三款应用程序中的某一个时,会被链接到与官方网站域名极其相似的虚假域名。

Abbati指出,之所以黑客会选择这三款应用程序,很大的可能在于它们都是采用Platypus开发的。Platypus是一种开发工具,可以从各种脚本(例如shell或Python脚本)中生成完整的macOS应用程序,这意味着创建这些应用程序的准入条件很低。

在恶意应用程序被安装后,当用户打开它时,它将从public.adobecc[.]com(Adobe公司旗下的合法网站)下载并安装有效载荷。

有效载荷会加载一个恶意的sysmdworker进程,并传入一些参数,其中一个是电子邮件地址。

然后,sysmdworker进程将使用名为“minergate-cli”的命令行工具来开展门罗币开采工作,并定期连接到挖矿池minergate[.]com,并将上述电子邮件地址作为登录名传入。

为了避免受到此类恶意软件的威胁,我们建议Mac用户应该从合法网站(例如,软件开发商的官方网站或Mac App Store)下载应用程序。

 

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

作者
折腰的五斗米
折腰的五斗米 世间诸多不平,如我码字千万,却换不来你一句留言!!!
分享到