新型Mac加密货币挖矿恶意软件正通过MacUpdate网站分发

“用指尖改变世界”

在上周五,网络安全公司SentinelOne的安全研究员Arnaud Abbati通过推特发布了关于一种新型Mac恶意软件正在通过MacUpdate网站分发的消息。这个恶意软件被Abbati命名为“OSX.CreativeUpdate”,是一个新的加密货币矿工,被设计运行在后台,并使用受感染计算机的CPU资源进行门罗币(Monero)开采。

MacUpdate是一个供用户学习下载新的Mac、iPhone 和iPad应用程序的网站,用户可以在网站上阅读最新的软件评论,这些评论往往都是由世界知名企业的专业人士发布的。从而,用户可以找到正在使用的应用程序的替代程序,并可以使用MacUpdate网站推出的应用程序进行系统更新,以保证自己的设备安全运行。

根据MacUpdate网站发表的声明,这个恶意软件是通过入侵MacUpdate网站的黑客传播的,入侵事件大概发生在2月1日的某个时间段

Abbati指出,之所以黑客会选择这三款应用程序,很大的可能在于它们都是采用Platypus开发的。Platypus是一种开发工具,可以从各种脚本(例如shell或Python脚本)中生成完整的macOS应用程序,这意味着创建这些应用程序的准入条件很低。

在恶意应用程序被安装后,当用户打开它时,它将从public.adobecc[.]com(Adobe公司旗下的合法网站)下载并安装有效载荷。

有效载荷会加载一个恶意的sysmdworker进程,并传入一些参数,其中一个是电子邮件地址

然后,sysmdworker进程将使用名为“minergate-cli”的命令行工具来开展门罗币开采工作,并定期连接到挖矿池minergate[.]com,并将上述电子邮件地址作为登录名传入。

为了避免受到此类恶意软件的威胁,我们建议Mac用户应该从合法网站(例如,软件开发商的官方网站或Mac App Store)下载应用程序。

本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180207B07VNB00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券