MacUpdateがハッキング被害に遭い、仮想通貨のマイニング機能が実装されたFirefoxやOnyXなどがダウンロードされた恐れがあると発表。

シェアする

スポンサーリンク

 MacUpdateがハッキング被害に遭い、仮想通貨のマイニング機能が実装されたFirefoxやOnyXなどがダウンロードされた恐れがあると発表されています。詳細は以下から。

MacUpdateのロゴ

 米セキュリティ企業MalwarebytesやObjective-SeeのPatrickさんらによると、Mac専用のアプリ配布&ダウンロードサイトMacUpdate経由で配布されていたFirefoxやOnyX、Deeperなどの人気アプリに仮想通貨(Bitcoin)のマイニングを行うマルウェアが同梱されていたことが確認されたそうです。

Early this morning, security researcher Arnaud Abbati of SentinelOne tweeted about new Mac malware being distributed via MacUpdate. This malware, which Abbati has named OSX.CreativeUpdate, is a new cryptocurrency miner, designed to sit in the background and use your computer’s CPU to mine the Monero currency.

New Mac cryptominer distributed via a MacUpdate hack – Malwarebytes Labs

スポンサーリンク

MacUpdateの被害

 MacUpdateは現地時間2018年02月02日、コメント欄で声明を発表し02月01日にMacUpdateのWebサイトがハッキング被害に遭い、ダウンロードサイトへのURLが以下の様に書き換えられていたそうで、

  • OnyXやDeeperの配布サイトへのリンク
  • Firefoxの配布サイトへのリンク
    • 正しいURL : mozilla.net
    • ハッキング被害後のURL : download-installer.cdn-mozilla.net

MacUpdateはユーザーからの指摘を受け既にこのURLを変更したと発表していますが、この間にMacUpdate経由で偽のURLからマイニング機能を含んだFirfoxやOnyXなどのインストーラーをダウンロードし、インストールしてしまったユーザーは自身のMacが知らぬ間に仮想通貨のマイニングに利用されている可能性があるそうです。

仮想通貨のマイニング機能が追加されたOnyX

If you have installed-and-run Onyx since 1 February 2018, please note that we have investigated a suspicious link to a Onyx update posted and found it to be malicious – we have removed the link.

OnyX for Mac – MacUpdate

MalwarebytesのMac担当ディレクターThomas Reedさんによると、マイニングはMinergateの「minergate-cli」というコマンドラインツールを利用して行われ、定期的に以下のユーザーに送信されるそうで、Malwarebytesでは昨年08月にリリースした同社のマルウェア検出ツールMalwarebytes for Macでこのマルウェアを「OSX.CreativeUpdater」として検出可能にしたそうなので、気になる方はチェックしてみて下さい。

Malwarebytes for Mac will detect this malware as OSX.CreativeUpdater.

sh -c ~/Library/mdworker/sysmdworker -user walker18@protonmail.ch -xmr

This loads a malicious sysmdworker process, passing in a couple arguments, one of which is an email address.
That sysmdworker process will then do the work of mining the Monero cryptocurrency, using a command-line tool called minergate-cli, and periodically connecting to minergate.com, passing in the above email address as the login.

New Mac cryptominer distributed via a MacUpdate hack – Malwarebytes Labs

検体情報

マニュアルでチェックする方法

 Malwarebytesを利用せずにOSX.CreativeUpdaterを削除したい場合は以下の手順を行って下さい。

MacUpdateのマイニング・マルウェアが作成するmdworker

  • MacUpdate経由でダウンロードしたファイルのコピーなど全てを削除して下さい。
  • ダウンロードしたアプリを正規のサイトからダウンロード&インストール。
  • Finderを起動してCommand + Shift + Hキーを押してホームディレクトリに移動。
  • 次にライブラリフォルダへ移動。*ライブラリフォルダが表示されていなければ、Optionキーを押して[移動]メニューからライブラリへ移動
  • スクロールして”mdworker(~/Library/mdworker/)”というフォルダを見つける。*無い場合は感染している可能性が低いです。
  • “mdworker”フォルダをフォルダごと削除
  • 次に”LaunchAgents(~/Library/LaunchAgents/)”フォルダを見つけ移動。
  • “LaunchAgents”フォルダ内にある”MacOS.plist” と “MacOSupdate.plist” (~/Library/LaunchAgents/MacOS.plist and ~/Library/LaunchAgents/MacOSupdate.plist)というファイルを削除。
  • ゴミ箱を空にする。
  • システムを再起動。

コメント

  1. 匿名 より:

    Titanium Softwareのアドレスなんだけど
    https://www.titanium-software.fr/en/index.html
    http://titanium-software.fr/en/index.html
    上のhttpsのほうでいいんだよね?

    • applech2 より:

      ご指摘ありがとうございます。
      先ほど、Titanium Softwareのアドレスをhttpからhttpsの方へ変更しましたので、WordPressのキャッシュクリア後に更新されると思います。