Crypto-malware valt Macs aan via MacUpdate
Lees verder na de advertentie
Heb je recent via de site MacUpdate de browser Firefox of de hulpprogramma’s Onyx en Deeper gedownload? Dan draait er nu mogelijk malware op je Mac – zonder dat je dat doorhebt. Op 1 februari hebben hackers de download-links van bovengenoemde programma’s op MacUpdate aangepast en lieten gebruikers op die manier een besmette versie van de bekende apps dowloaden. Dit liet beveiligingsonderzoeker Patrick Wardle weten. Het is overigens niet de eerste keer dat hackers de database van MacUpdate hebben gebruikt om malware te verspreiden. Zo’n twee jaar terug gebeurde het ook al een keer met een programma om bestanden te converteren.
Gemanipuleerde Firefox met crypto-malware
Bij het openen van de besmette programma’s wordt de malware MinerGate geïnstalleerd. Dat is een crypto-malware die op de achtergrond de cryptovaluta Monero gaat ‘minen’ en hiervoor de rekenkracht van jouw computer gebruikt. De malware zorgt zo voor een buitengewoon hoge processorbelasting, maar doet verder geen kwaadaardige dingen, aldus Wardle. Wel is het mogelijk dat de malware zichzelf gaat updaten en op die manier andere, kwaadaardigere malware installeert.
Veiligheidsmechanismen van macOS werden omzeild
De gemanipuleerde programma’s waren allemaal gesigneerd met een Apple Developer ID. Daarom toonde de veiligheidsfunctie Gatekeeper ook geen waarschuwing. Apple heeft dat ontwikkelaars-account inmiddels gedeactiveerd en MacUpdate heeft de links naar de programma’s weer aangepast.
MacUpdate heeft zijn excuses aangeboden – de site is zelf in de aanval van de hackers getrapt. In een reactie werd ook gezegd dat de ontwikkelaars van de apps niet verantwoordelijk waren voor het verspreiden van de malware,
Controleer of je veilig bent
Om te controleren of je veilig bent, hoef je maar in de Bibliotheek van je gebruikersmap te kijken. Als je daar een map met de naam mdworker ziet (dus ~/Bibliotheek/mdworker/), is de crypto-malware geïnstalleerd. Verwijderen is gelukkig een fluitje van een cent: je hoeft de map maar te verwijderen. Kijk daarnaast of het bestand ~/Library/LaunchAgents/ MacOSUpdate.plist bestaat – ook dit kan namelijk op een infectie wijzen. Vind je het bestand, verwijder je het.
Ik heb niet het mapje MDWorker of de propterty list, maar ik zie wel processen draaien (top in terminal) met de naam mdworker? Heeft de dev het mapje dezelfde naam gegeven om onschuldig te lijken? Of ben ik geïnfecteerd?
Ik heb gezocht naar mapjes maar ik heb niets kunnen vinden. Ik heb onyx maar ik heb niet updates geïnstalleerd de afgelopen tijd. Misschien heeft hij dat echter zelf gedaan.
Beste wel heftig dat je niets meer kunt downloaden op dit moment om je eigen muntjes veilig te stellen. Recent is, waarschijnlijk via email, ook mijn MEW gehacked en zijn al mijn ICO muntjes gestolen. Tijd om veiligheid voor je muntjes (https://www.onetime.nl/geld/virtueel-geld/hoe-kun-veilig-investeren-en-handelen-cryptocurrencies) bovenaan te zetten! Ik heb mijn ledger maar besteld.