Otro día, otro minero de criptomonedas dirigido a los usuarios: esta vez, el sitio de MacUpdate ha sido pirateado para soltar cryptocurrency miner en dispositivos Mac.
MacUpdate, una conocida plataforma de descarga de software, se ha convertido en víctima de un ataque de pirateo informático y el servicio ahora está distribuyendo mineros de criptomonedas a los usuarios de Mac, reveló el investigador de seguridad de SentinelOne, Arnaud Abbati.
Cómo sucedió el hackeo en MacUpdate
Apodado Trobador/Minero CreativeUpdate, por Abbati, el malware es un gotero de la herramienta de desarrollador de código abierto Platypus que descarga un minero de los servidores Adobe Creative Cloud. Quien haya descargado enlaces del 1 de febrero al 2 de febrero de 2018 está actualmente en riesgo.
Los ciberdelincuentes aparentemente se infiltraron en el sitio web de MacUpdate para distribuir el malware. Instalaron copias modificadas de las aplicaciones cryptomining Onyx, Firefox y Deeper. Reemplazaron los enlaces de descarga de cada una de estas aplicaciones. Modificandolas con enlaces que llevaban a los usuarios a dominios maliciosos. Según Thomas Reed de Malwarebytes. Los dominios falsos muestran las URL que ya se modificaron pero que parecían legítimas y convincentes para los usuarios.
Onyx y Deeper están desarrollados por Titanium Software, al que se puede acceder en titanium-software.fr. Pero el enlace ha sido alterado maliciosamente como titaniumsoftware.org para redirigir a los usuarios a descargar URLs desde esta dirección no auténtica. Este nuevo dominio se registró el 23 de enero, pero su propietario permanece oculto. Por el contrario, la aplicación no oficial de Firefox se distribuye a través de URL falsa download-installer.cdn-mozilla.net en lugar de Mozilla.net.
Lo que sucede es que se solicita al usuario que almacene la aplicación en la carpeta de aplicaciones. Lo cual es un requisito común incluso con las aplicaciones originales. Las aplicaciones han sido creadas por Platypus, una herramienta de desarrollador que produce aplicaciones macOS completas de varios scripts como Python o scripts de Shell.
Las copias señuelo de la aplicación auténtica también están presentes en el malware para que los usuarios no sospechen. Cuando se instalan las aplicaciones falsas, se instala una carga desde la URL legítima public.adobecc.com, que abre una copia de la aplicación original y activa el malware.
El ataque no siempre tiene éxito
La tasa de éxito de este método no es siempre del cien por ciento. Como señaló Reed :
«Por ejemplo, la aplicación maliciosa Onyx se ejecutará en Mac OS X 10.7 y posteriores. Pero la aplicación señuelo Onyx requiere macOS 10.13. Esto significa que en cualquier sistema entre 10.7 y 10.12, el malware se ejecutará. Pero la aplicación señuelo no se abrirá para cubrir el hecho de que algo malicioso está sucediendo. En el caso de la aplicación Deeper, los piratas informáticos se volvieron aún más descuidados. Incluyendo una aplicación OnyX en lugar de una aplicación Deeper como el señuelo por error. Haciendo que fallara de manera similar, pero por una razón más irrisoria».
Cuando MacUpdate se enteró del problema, inmediatamente se disculpó y emitió una declaración. Tal como la publicó el editor del sitio, además de ofrecer instrucciones para eliminar el malware:
«Si ha instalado y ejecutado Firefox 58.0.2, Onyx o Deeper desde el 1 de febrero de 2018. Acepte mis disculpas, pero deberá seguir estos pasos para eliminar un minero de Bitcoin que hackeó versiones de esas aplicaciones instaladas. Esto no es culpa de los desarrolladores respectivos, así que no les crean. La culpa es completamente mía por haber sido engañado por los hackers».
Soluciones al problema
Para eliminar el malware. Los usuarios deben eliminar todas las copias tituladas Firefox, Deeper y / o OnyX y descargar / instalar copias recientes. Acceda a su directorio de inicio en Finder a través de Cmd-Shift-H, si la carpeta no aparece, presione la tecla Opción / Alt y haga clic en el menú Ir donde debe seleccionar Biblioteca (Cmd-Shift-L). Ahora, desplácese hacia abajo para encontrar la carpeta mdworker y elimine esta carpeta. Acceda a la carpeta LaunchAgents a través de ~ / Library / LaunchAgents / y elimine MacOS.plist (~ / Library / LaunchAgents / MacOS.plist) y MacOSupdate.plist (~ / Library / LaunchAgents / MacOSupdate.plist). Finalmente, limpie la carpeta Papelera y reinicie la computadora.
Además, Reed recomienda que los usuarios descarguen directamente las aplicaciones del sitio web oficial del desarrollador en lugar de Mac App Store, ya que no hay garantía de que la aplicación sea auténtica o no. Reed declaró que siempre existe la posibilidad de que su dispositivo esté infectado con estafas, malware o adware. Por lo tanto, es importante asegurarse de que el software sea auténtico.
«Tenga en cuenta que el viejo adagio de que ‘los Mac no tienen virus’. Nunca ha sido cierto, está comprobado que es cada vez más falso. No te permitas creer que los Macs no se infectan, ya que eso te hará más vulnerable «, escribe Reed.