Krypto-Miner schlich über Download-Verzeichnis MacUpdate auf Macs
Mac-Nutzer, die beliebte Software wie etwa den Browser Firefox über MacUpdate heruntergeladen haben, handelten sich dadurch unter Umständen Malware ein.
Angreifer haben erneut das Download-Verzeichnis MacUpdate eingesetzt, um Mac-Malware zu verbreiten. Nutzer, die darüber am 1. Februar den Browser Firefox oder eines der System-Tools Onyx und Deeper bezogen, haben sich möglicherweise einen Krypto-Miner eingefangen: Die von MacUpdate bereitgestellten Download-Links verwiesen nämlich vorübergehend auf manipulierte Versionen der bekannten Apps, die über einen Dritt-Server ausgeliefert wurden, wie der Sicherheitsforscher Patrick Wardle ausführt.
Manipulierter Firefox mit Krypto-Miner
Beim Öffnen eines der manipulierten Programme wurde Malware in Gestalt des Krypto-Miners MinerGate nachgeladen, der die Kryptowährung Monero schürfen soll und dafür die Rechnerressourcen des Opfers benutzt. Dies sollte lediglich zu einer hohen Prozessorauslastung des Macs führen, ansonsten aber keinen Schaden anrichten, merkt Wardle an – allerdings könne die OSX/CreativeUpdater genannte Malware sich aktualisieren und damit andere Schad-Software nachladen.
Malware mit Apple-Developer-Zertifikat signiert
Die manipulierten Apps waren jeweils mit einer Apple-Developer-ID signiert, damit die in macOS integrierte Schutzfunktion GateKeeper keinen Warnhinweis anzeigt. Apple hat die verwendete Developer ID inzwischen zurückgezogen, wie der Sicherheitsforscher erklärt. Die Download-Links wurden nach Angabe eines MacUpdate-Moderators umgehend korrigiert, um wieder auf die Originalversionen der Programme zu verweisen.
Man sei auf die Hacker hereingefallen, erklärte der MacUpdate-Moderator “Jess-MacUpdate” in einer als Kommentar veröffentlichten Entschuldigung unter den betroffenen Programmen, die Schuld für die Verbreitung des Krypto-Miners liege nicht bei den Entwicklern der Apps. Vor knapp zwei Jahren wurde bereits die Backdoor Eleanor über MacUpdate vertrieben, die sich als App zum Konvertieren von Dokumenten tarnte.
Um zu prüfen, ob eine Infektion durch OSX/CreativeUpdater vorliegt, reicht ein Blick in die Library des Nutzerverzeichnis: Falls dort ein Ordner mit dem Namen mdworker (~/Library/mdworker/) zu finden ist, wurde der Krypto-Miner installiert – auch eine MacOSUpdate.plist unter den LaunchAgents (~/Library/LaunchAgents/MacOSupdate.plist) weise auf die Infektion hin, so Wardle. (lbe)