Скрытый майнер для macOS распространился через компрометацию MacUpdate
Специалисты компании Malwarebytes предупредили, что ряд приложений, распространявшихся через сайт MacUpdate, были заражены скрытым майнером криптовалюты Monero.
Сообщается, что инцидент произошел 1 февраля 2018 года, и вредоносной модификации подверглись Firefox, OnyX и Deeper. Операторы MacUpdate довольно быстро заметили проблему и 2 февраля уже опубликовали предупреждение для пользователей.
Администрация ресурса признала, что случившееся – их вина, и сами легитимные приложения компрометации не подвергались. То есть злоумышленники сумели подменить весьма убедительными фальшивками официальные ссылки для загрузки, размещенные на MacUpdate. К примеру, ссылка на скачивание браузера Mozilla вела не на официальный домен mozilla.net, а на download-installer.cdn-mozilla.net.
Аналитики Malwarebytes отмечают, что квалификация злоумышленников, очевидно, была низкой, так как с работой у фальшивых приложений возникали различные проблемы. Так, вредоносная версия OnyX должна была работать на macOS 10.7, но приложение-наживка, которое атакующие использовали на промежуточном этапе атаки, требовало macOS 10.13 или выше. Ситуация с фальшивым Deeper обстояла похожим образом, причем в этом случае атакующие и вовсе все перепутали, и в качестве «наживки» для Deeper использовался все тот же OnyX неправильной версии, что и вовсе выдавало подлог сразу.
Исследователи Malwarebytes в очередной раз рекомендовали пользователям загружать приложения из доверенных источников (например, Mac App Store), а представители MacUpdate принесли извинения за случившееся и, как видно на иллюстрации выше, опубликовали пошаговую инструкцию для удаления малвари.
xakep.ru
Новый троян-майнер под Mac превращает компьютер в машину для генерации биткоинов
13 июля 2017, 20:00
Эксперты Symantec сообщили о распространении на Mac вредоносного ПО, предназначенного для добычи криптовалюты — майнинга. Зловред получил обозначение DevilRobber. Он атакует компьютеры под управлением операционных систем семейства macOS.
Специалисты опубликовали отчет, посвященный самым заметным угрозам и событиям июня 2017 года. Одним из интересных наблюдений стал внезапный рост «популярности» майнингового вредоноса для Mac. Троянский червь использует вычислительные мощности компьютеров с установленной macOS для генерации электронной валюты.
Вирус использует графический потенциал видеокарты (GPU) для генерации виртуальных единиц. Троян генерирует деньги с помощью целой сети ПК с установленной Mac, а не одного компьютера, потому что ему требуется много ресурсов и времени.
Symantec заметили, что DevilRobber в последнее время начал стремительно набирать «популярность». Если в мае 2017 года доля DevilRobber составляла всего 2,4%, то в июне 2017 года троян продемонстрировал взрывной рост и набрал 21,6%, в итоге заняв второе место в рейтинге наиболее распространенных угроз для Mac.
По мнению экспертов, у случившегося может быть два объяснения. Либо операторы «вредоноса» стали чаще распространять угрозы, либо владельцы Mac стали гораздо чаще искать майнинговые решения и по невнимательности устанавливают вредоносные версии.
Троян использует GPU для майнинга Bitcoin, а также похищает криптовалюту с кошельков пострадавших пользователей. В свое время угроза стала настолько серьезной, что разработчики Apple были вынуждены выпустить обновление, направленное на борьбу с майнерами. Новые версии трояна майнят не только Bitcoin, но и Ethereum и Monero, ведь это более выгодное занятие.
Источник: MacDigger.ruGoogle Pixel 4
Скрытый майнер для macOS распространялся через MacUpdate |
Эксперты по кибербезопасности компании Malwarebytes предупредили о том, что несколько приложений на сайте MacUpdate заражены скрытым майнером, который добывает Monero.
Исследователи сообщили, что зараженные модификации были выявлены среди приложений Firefox, OnyX и Deeper. Специалисты MacUpdate оперативно предупредили пользователей и справились с вредоносным ПО
Как выяснилось позднее, сами приложения не были скомпрометированы, хакеры смогли подменить официальные ссылки для загрузки фальшивыми. Ссылка для загрузки браузера Mozilla Firefox, например, вела не на mozilla.org, а на download-installer.cdn-mozilla.net.
Эксперты Malwarebytes отмечают, что фальшивые приложения работали со сбоями. Представители компании рекомендуют пользователям проверять источники ссылок, а операторы MacUpdate принесли извинения и объяснили, как избавиться от скрытых майнеров.
Подписывайтесь на Bitnovosti в telegram!
Делитесь вашим мнением об этой новости в комментариях ниже.
Источник
Поделиться ссылкой:
Related
bitnovosti.com
Пользователей Mac заражает майнер криптовалюты Monero
В последние недели многие пользователи Mac заметили в своих системах странный процесс mshelper, который активно оттягивал на себя мощности процессора и способствовал ускорению разрядки батарей. Специалисты компании Malwarebytes проанализировали ситуацию и обнаружили малварь, которой было присвоено имя mshelper. Она заражает пользователей macOS майнером криптовалюты Monero (XMR).
Исследователи пишут, что пока не удалось установить, как именно распространяется скрытый майнер. Вероятнее всего, малварь маскируется под Flash Player, содержится во вредоносных документах или пиратском ПО.
Активность лаунчера вредоноса, файла pplauncher, поддерживается демоном com.pplauncher.plist, а это позволяет предположить, что дроппер, вероятно, имеет root-привилегии на скомпрометированной системе. Сам лаунчер написан на Golang и «весит» внушительные 3,5 Мб. Аналитики Malwarebytes отмечают, что использование Golang приводит к тому, что бинарник содержит более 23 000 функций, а это явно слишком для такой простой функциональности, которая требовалась атакующему. Отсюда специалисты делают вывод, что преступник не слишком хорошо знаком с Mac’ами.
Лаунчер отвечает за создание вышеупомянутого процесса mshelper, который, в свою очередь, ответственен за добычу криптовалюты Monero. Как и во многих других случаях, злоумышленник использовал для реализации этой функциональности легитимное опенсорсное решение XMRig. Из-за этого, судя по сообщениям пострадавших, антивирусные продукты могут не реагировать на угрозу или удалять ее не полностью (майнер возвращается после перезагрузки).
«Эта малварь не представляет большой опасности, если только у вашего Mac нет проблем с кулерами и он не забит пылью, в таком случае [заражение] может привести к перегреву. Хотя процесс mshelper, по сути, злоупотребляет использованием легитимного ПО, он все равно должен быть удален, наряду с другим вредоносным софтом», — пишут исследователи.
Избавиться от майнера можно и самостоятельно, для этого понадобится найти и удалить два нижеуказанных файла, а затем перезагрузить устройство.
/Library/LaunchDaemons/com.pplauncher.plist
/Library/Application Support/pplauncher/pplauncher
xakep.ru
Злоумышленники совершенствуют Bitcoin-майнер для Mac OS
Эксперты F-Secure обнаружили новую версию OSX-троянца, который использует вычислительные мощности зараженного компьютера для генерации биткойнов в пользу своих хозяев.
Первоначальный вариант зловредного майнера для Mac OS, известный как DevilRobber (в классификации ЛК Backdoor.OSX.Miner), объявился на торрент-трекерах в конце октября. Его компоненты скачали несколько пользователей The Pirate Bay в комплекте с копиями популярных легальных программ. DevilRobber обладает функционалом бэкдора, осуществляет сбор информации на зараженной машине и отправляет ее на удаленный ftp-сервер злоумышленника. При запуске троянец проверяет наличие Little Snitch (файервола) и производит установку лишь при его отсутствии. Он создает точку запуска ~/Library/LaunchAgents/com.apple.legion.plist и прописывается в домашней папке как ~/Library/mdsa1331.
Основным назначением DevilRobber является обеспечение процесса «чеканки» виртуальных монет на зараженном ПК. Его присутствие в системе выдает заметное увеличение нагрузки на графическую карту и ЦП. Зловред также делает скриншоты, копирует файлы Keychain, содержимое журнала Safari, историю введенных команд и опустошает электронный кошелек Bitcoin, если таковой имеется у пользователя. Он устанавливает прокси-сервер на одном из портов и прослушивает порт 34123 для получения команд с удаленного сервера.
Версия 3 этого троянца, которую проанализировали в F-Secure, тоже выдает себя за легальную программу, но прописывается в зараженной системе под другим именем ― PixelMator ― и распространяется с помощью даунлоудера. Инсталлятор бэкдора подгружается с удаленного ftp-сервера в результате активации DevilRobberV3 и сохраняется в памяти как binary.zip. Чтобы отыскать вредоносный комплект bin.cop в файлообменной сети, даунлоудер генерирует 3 URL с жестко прописанным в коде именем пользователя и паролем. По свидетельству экспертов, обновленного троянца уже не интересуют LittleSnitch и скриншоты. Он создает точку запуска под новым именем ― ~/Library/LaunchAgents/com.apple.pixel.plist, крадет историю команд, системные логи и данные из бесплатной утилиты управления паролями 1Password, а также содержимое Bitcoin-кошелька.
securelist.ru