توزیع بدافزار استخراج ارز مجازی مک در وب‌سایت مک‌آپدیت

نسخه‌های مخرب اصلاح‌شده‌ برنامه‌های محبوب که از طریق وب‌سایت مک‌آپدیت توزیع شدند بدافزار استخراج ارز دیجیتال را بر روی رایانه‌های مک نصب می‌کند.

این مسئله روز جمعه، یک روز پس از آن‌که نسخه‌های مخرب اصلاح‌شده‌ برنامه‌های فایرفاکس، OnyX و Deeper از طریق وب‌سایت مک‌آپدیت توزیع شدند، مشاهده شد. مک‌آپدیت به‌سرعت این مسئله را تایید و اعلام کرد که این موضوع خطای آنها بوده و برنامه‌های قانونی به خطر نیفتاده‌اند.
آنچه که به این وضعیت منجر شد، بسیار ساده است. مک‌آپدیت به‌جای پیوند دادن به وب‌سایت‌های رسمی بارگیری برنامه‌ها به دامنه‌های جعلی مشابه دامنه‌های قانونی پیوند داده بود.

بنابراین به‌جای وب‌سایت titanium-software.fr، وب‌سایت titaniumsoftware.org (ثبت شده در تاریخ ۲۳ ژانویه) برای نشانی‌های وب بارگیری OnyX و Deeper (هر دو محصولات ساخته‌شده توسط نرم‌افزار تیتانیوم هستند) ثبت شده‌بود. پیوند بارگیری فایرفاکس با استفاده از دامنه‌ی download-installer.cdn-mozilla.net، به‌جای mozilla.net، حتی فریبنده‌تر بود.

با این حال، Malwarebytes می‌گوید که برای این سه برنامه، کاربران پرونده‌های تصویر دیسک (dmg.) را که به‌نظر بسیار قانع‌کننده بودند، بارگیری کردند. این پرونده‌ها مشابه برنامه‌های قانونی از کاربر خواسته‌بودند که پرونده را به پوشه‌ برنامه‌ها بکشند.

این برنامه‌های جعلی توسط Platypus ایجاد شده‌اند که ابزار توسعه‌دهنده‌ی مورد استفاده برای ساخت نرم‌افزار سیستم‌عامل مک از اسکریپت‌هایی مانند shell یا Python است.
این برنامه‌های جعلی پس از نصب، یک بارداده از public.adobecc.com (یک وب‌سایت قانونی متعلق به ادوبی) بارگیری و نصب کرده و پس از آن تلاش می‌کند یک رونوشت از برنامه‌ قانونی را به‌عنوان تله باز کند. با این وجود به‌دلیل اشتباهات مختلف عامل ایجادکننده‌ برنامه‌های جعلی، این عملیات همیشه موفق نیست.

پژوهشگران امنیتی دریافتند که برنامه‌ مخرب OnyX بر روی نسخه‌ سیستم عامل X ۱۰.۷ و بالاتر مک اجرا می‌شود، اما برنامه‌ تله به نسخه‌ سیستم عامل ۱۰.۱۳ و بالاتر مک نیاز دارد، بدین‌معنی که این بدافزار تنها بر روی سامانه‌هایی با نسخه‌های قدیمی پلتفرم اجرا می‌شود.
در مورد برنامه‌ جعلی Deeper نیز همه چیز مشابه است، اما دلیل آن خنده‌دار است. مهاجم، برنامه‌ OnyX را به‌جای برنامه‌ Deeper به‌عنوان تله به‌کار می‌گیرد که به‌وضوح نشان می‌دهد این تله برای پوشش دادن رفتار مخرب اجرا نمی‌شود.

به‌محض اجرای برنامه‌ جعلی، یک اسکریپت از آن بررسی می‌کند که آیا در حال اجراست یا خیر و اگر در حال اجرا نبود، بدافزار را بارگیری کرده و آن را در پوشه‌ کتابخانه که به‌طور پیش‌فرض پنهان است، باز می‌کند. پرونده‌ راه‌انداز بدافزار به نام MacOSupdate.plist نصب می‌شود که برای اجرای یک اسکریپت دیگر به‌طور مرتب طراحی شده‌است.

این عامل راه‌انداز، پرونده‌ جدید MacOS.plist را بارگیری و آن را نصب می‌کند، اما ابتدا پرونده‌ قبلی MacOS.plist را ظاهرا به‌منظور به‌روزرسانی آن حذف می‌کند. مشاهده شد که پرونده‌ بارگیری‌شده‌ی MacOS.plist، یک فرایند مخرب sysmdworker را بارگذاری کرده و از استدلال‌ها، ازجمله یک آدرس رایانامه عبور می‌کند.

Malwarebytes توضیح می‌دهد:

فرایند sysmdworker با استفاده از یک ابزار خط فرمان به نام minergate-cli، استخراج ارز مجازی مونرو را انجام داده و با عبور از آدرس رایانامه‌ فوق به‌عنوان ورود به سامانه به‌طور مداوم به وب‌سایت minergate.com متصل خواهدشد
به‌منظور مصون ماندن از این بدافزار و تهدیدات مشابه، به کاربران توصیه می‌شود که همیشه برنامه‌ها را تنها از وب‌سایت‌های قانونی، مانند وب‌سایت توسعه‌دهنده یا فروشگاه برنامه‌های مک بارگیری کنند.

همان‌طور که Malwarebytes اشاره می‌کند، این نخستین‌بار نیست که وب‌سایت مک‌آپدیت برای اهداف مخرب مورد بهره‌برداری قرار گرفته‌است. چند سال پیش نیز نفوذ مشابهی صورت گرفته و به توزیع بدافزار OSX.Eleanor منجر شده‌بود.