Terug naar Crypto-malware valt Macs aan via MacUpdate
Geen resultaten gevonden.
Toon meer resultaten
Nieuws

Crypto-malware valt Macs aan via MacUpdate

Door Sven Lamers7 februari 2018 12:142 min. leestijd2

Heb je recent via de site MacUpdate de browser Firefox of de hulpprogramma’s Onyx en Deeper gedownload? Dan draait er nu mogelijk malware op je Mac – zonder dat je dat doorhebt. Op 1 februari hebben hackers de download-links van bovengenoemde programma’s op MacUpdate aangepast en lieten gebruikers op die manier een besmette versie van de bekende apps dowloaden. Dit liet beveiligingsonderzoeker Patrick Wardle weten. Het is overigens niet de eerste keer dat hackers de database van MacUpdate hebben gebruikt om malware te verspreiden. Zo’n twee jaar terug gebeurde het ook al een keer met een programma om bestanden te converteren.

Firefox DMG

Gemanipuleerde Firefox met crypto-malware

Bij het openen van de besmette programma’s wordt de malware MinerGate geïnstalleerd. Dat is een crypto-malware die op de achtergrond de cryptovaluta Monero gaat ‘minen’ en hiervoor de rekenkracht van jouw computer gebruikt. De malware zorgt zo voor een buitengewoon hoge processorbelasting, maar doet verder geen kwaadaardige dingen, aldus Wardle. Wel is het mogelijk dat de malware zichzelf gaat updaten en op die manier andere, kwaadaardigere malware installeert.

Veiligheidsmechanismen van macOS werden omzeild

De gemanipuleerde programma’s waren allemaal gesigneerd met een Apple Developer ID. Daarom toonde de veiligheidsfunctie Gatekeeper ook geen waarschuwing. Apple heeft dat ontwikkelaars-account inmiddels gedeactiveerd en MacUpdate heeft de links naar de programma’s weer aangepast.

macUpdate

MacUpdate heeft zijn excuses aangeboden – de site is zelf in de aanval van de hackers getrapt. In een reactie werd ook gezegd dat de ontwikkelaars van de apps niet verantwoordelijk waren voor het verspreiden van de malware,

Controleer of je veilig bent

Om te controleren of je veilig bent, hoef je maar in de Bibliotheek van je gebruikersmap te kijken. Als je daar een map met de naam mdworker ziet (dus ~/Bibliotheek/mdworker/), is de crypto-malware geïnstalleerd. Verwijderen is gelukkig een fluitje van een cent: je hoeft de map maar te verwijderen. Kijk daarnaast of het bestand ~/Library/LaunchAgents/ MacOSUpdate.plist bestaat – ook dit kan namelijk op een infectie wijzen. Vind je het bestand, verwijder je het.

Wekelijks Apple nieuws in je mail
Wekelijks Apple nieuws in je mail
  • Handige Apple-tips
  • Altijd up-to-date
  • Leuke acties
Aanmelden

2
Praat mee!

avatar
nieuwste eerstoudste eerst
Rick
Lezer
Rick

Ik heb niet het mapje MDWorker of de propterty list, maar ik zie wel processen draaien (top in terminal) met de naam mdworker? Heeft de dev het mapje dezelfde naam gegeven om onschuldig te lijken? Of ben ik geïnfecteerd?

Ik heb gezocht naar mapjes maar ik heb niets kunnen vinden. Ik heb onyx maar ik heb niet updates geïnstalleerd de afgelopen tijd. Misschien heeft hij dat echter zelf gedaan.

Jack Pot
Lezer
Jack Pot

Beste wel heftig dat je niets meer kunt downloaden op dit moment om je eigen muntjes veilig te stellen. Recent is, waarschijnlijk via email, ook mijn MEW gehacked en zijn al mijn ICO muntjes gestolen. Tijd om veiligheid voor je muntjes (https://www.onetime.nl/geld/virtueel-geld/hoe-kun-veilig-investeren-en-handelen-cryptocurrencies) bovenaan te zetten! Ik heb mijn ledger maar besteld.