Скрытый майнер для macos распространился через компрометацию macupdate

Специалисты компании Malwarebytes предупредили, что ряд приложений, распространявшихся через сайт MacUpdate, были заражены скрытым майнером криптовалюты Monero.

Сообщается, что инцидент произошел 1 февраля 2018 года, и вредоносной модификации подверглись Firefox, OnyX и Deeper. Операторы MacUpdate довольно быстро заметили проблему и 2 февраля уже опубликовали предупреждение для пользователей.

Администрация ресурса признала, что случившееся – их вина, и сами легитимные приложения компрометации не подвергались. То есть злоумышленники сумели подменить весьма убедительными фальшивками официальные ссылки для загрузки, размещенные на MacUpdate. К примеру, ссылка на скачивание браузера Mozilla вела не на официальный домен mozilla.net, а на download-installer.cdn-mozilla.net.

Аналитики Malwarebytes отмечают, что квалификация злоумышленников, очевидно, была низкой, так как с работой у фальшивых приложений возникали различные проблемы. Так, вредоносная версия OnyX должна была работать на macOS 10.7, но приложение-наживка, которое атакующие использовали на промежуточном этапе атаки, требовало macOS 10.13 или выше. Ситуация с фальшивым Deeper обстояла похожим образом, причем в этом случае атакующие и вовсе все перепутали, и в качестве «наживки» для Deeper использовался все тот же OnyX неправильной версии, что и вовсе выдавало подлог сразу.

Исследователи Malwarebytes в очередной раз рекомендовали пользователям загружать приложения из доверенных источников (например, Mac App Store), а представители MacUpdate принесли извинения за случившееся и, как видно на иллюстрации выше, опубликовали пошаговую инструкцию для удаления малвари.