MacUpdateがハッキング被害に遭い、仮想通貨のマイニング機能が実装されたFirefoxやOnyXなどがダウンロードされた恐れがあると発表されています。詳細は以下から。
米セキュリティ企業MalwarebytesやObjective-SeeのPatrickさんらによると、Mac専用のアプリ配布&ダウンロードサイト「MacUpdate」経由で配布されていたFirefoxやOnyX、Deeperなどの人気アプリに仮想通貨(Bitcoin)のマイニングを行うマルウェアが同梱されていたことが確認されたそうです。
new Mac malware OSX/CreativeUpdate is distributed via https://t.co/dSV1bmqRpX and uses Platypus (a dev tool that creates native apps from scripts). The last Mac malware distributed via https://t.co/dSV1bmqRpX was OSX/Eleanor (2016) – also used Platypus🤔🍎☠️ pic.twitter.com/xHk5mS9KhZ
— patrick wardle (@patrickwardle) 2018年2月2日
Early this morning, security researcher Arnaud Abbati of SentinelOne tweeted about new Mac malware being distributed via MacUpdate. This malware, which Abbati has named OSX.CreativeUpdate, is a new cryptocurrency miner, designed to sit in the background and use your computer’s CPU to mine the Monero currency.
New Mac cryptominer distributed via a MacUpdate hack – Malwarebytes Labs
MacUpdateの被害
MacUpdateは現地時間2018年02月02日、コメント欄で声明を発表し02月01日にMacUpdateのWebサイトがハッキング被害に遭い、ダウンロードサイトへのURLが以下の様に書き換えられていたそうで、
- OnyXやDeeperの配布サイトへのリンク
- 正しいURL : titanium-software.fr
- ハッキング被害後のURL : titaniumsoftware.org
- Firefoxの配布サイトへのリンク
- 正しいURL : mozilla.net
- ハッキング被害後のURL : download-installer.cdn-mozilla.net
MacUpdateはユーザーからの指摘を受け既にこのURLを変更したと発表していますが、この間にMacUpdate経由で偽のURLからマイニング機能を含んだFirfoxやOnyXなどのインストーラーをダウンロードし、インストールしてしまったユーザーは自身のMacが知らぬ間に仮想通貨のマイニングに利用されている可能性があるそうです。
If you have installed-and-run Onyx since 1 February 2018, please note that we have investigated a suspicious link to a Onyx update posted and found it to be malicious – we have removed the link.
OnyX for Mac – MacUpdate
MalwarebytesのMac担当ディレクターThomas Reedさんによると、マイニングはMinergateの「minergate-cli」というコマンドラインツールを利用して行われ、定期的に以下のユーザーに送信されるそうで、Malwarebytesでは昨年08月にリリースした同社のマルウェア検出ツール「Malwarebytes for Mac」でこのマルウェアを「OSX.CreativeUpdater」として検出可能にしたそうなので、気になる方はチェックしてみて下さい。
sh -c ~/Library/mdworker/sysmdworker -user walker18@protonmail.ch -xmrThis loads a malicious sysmdworker process, passing in a couple arguments, one of which is an email address.
That sysmdworker process will then do the work of mining the Monero cryptocurrency, using a command-line tool called minergate-cli, and periodically connecting to minergate.com, passing in the above email address as the login.New Mac cryptominer distributed via a MacUpdate hack – Malwarebytes Labs
検体情報
- Firefox 58.0.2.dmg – VirusTotal
- OnyX.dmg – VirusTotal
- mdworker.zip – VirusTotal
- 1UQIRIV2MJHGD2F3D2H403W31RTFFF.zip – VirusTotal
- 1UQIRIV2MJHGD2F3D2H403W31RTFFF – VirusTotal
マニュアルでチェックする方法
Malwarebytesを利用せずにOSX.CreativeUpdaterを削除したい場合は以下の手順を行って下さい。
- MacUpdate経由でダウンロードしたファイルのコピーなど全てを削除して下さい。
- ダウンロードしたアプリを正規のサイトからダウンロード&インストール。
- Finderを起動してCommand + Shift + Hキーを押してホームディレクトリに移動。
- 次にライブラリフォルダへ移動。*ライブラリフォルダが表示されていなければ、Optionキーを押して[移動]メニューからライブラリへ移動。
- スクロールして”mdworker(~/Library/mdworker/)”というフォルダを見つける。*無い場合は感染している可能性が低いです。
- “mdworker”フォルダをフォルダごと削除
- 次に”LaunchAgents(~/Library/LaunchAgents/)”フォルダを見つけ移動。
- “LaunchAgents”フォルダ内にある”MacOS.plist” と “MacOSupdate.plist” (~/Library/LaunchAgents/MacOS.plist and ~/Library/LaunchAgents/MacOSupdate.plist)というファイルを削除。
- ゴミ箱を空にする。
- システムを再起動。
- OnyX for Mac – MacUpdate
- New Mac cryptominer distributed via a MacUpdate hack – Malwarebytes Labs
コメント
Titanium Softwareのアドレスなんだけど
https://www.titanium-software.fr/en/index.html
http://titanium-software.fr/en/index.html
上のhttpsのほうでいいんだよね?
ご指摘ありがとうございます。
先ほど、Titanium Softwareのアドレスをhttpからhttpsの方へ変更しましたので、WordPressのキャッシュクリア後に更新されると思います。