• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:273

MacUpdate網站遭駭客掌握用來散播挖礦惡意程式，導致使用者Mac設備也可能成為駭客手底下的挖礦苦工。

資安專家發現，知名的Mac軟體蒐集站MacUpdate已經成為黑客攻擊的受害者，該服務現正在向Mac使用者散播惡意挖礦程式。
這個惡意軟體被稱為「CreativeUpdate trojan / miner」，它是開源開發工具Platypus的一個縮小版，會從Adobe Creative Cloud伺服器下載挖礦程式。
2018年2月1日至2月2日下載該連結的使用者皆處於此風險中。
駭客入侵MacUpdate網站，並利用其散播挖礦程式，駭客修改OnyX、Firefox 和 Deeper等APP，並將下載連結替換為引導用戶訪問惡意網站的連結，該假冒之惡意連結修改得看起來合法且令人信服。
如Firefox的APP是透過偽造的URL「download-installer[.]cdn-mozilla[.]net」而不是Mozilla[.]net進行散播。當使用者安裝時，一如往常會被要求下載至應用程式資料夾，這類APP是透過Platypus開發。這個工具用於開發原生Mac應用程式，支援的語言包括 python、perl 和 ruby 或是Shell腳本。
當安裝假冒APP時，將從合法URL public[.]adobecc[.]com下載檔案，便會開啟偽裝原始APP的偽冒副本並啟動惡意軟體。
MacUpdate發覺到這個問題後，立即由網站的編輯發出道歉聲明，並提供有關刪除惡意軟體說明。

建議用戶直接從開發人員的官方網站或是官方Mac App Store下載APP，雖不能保證APP是否有問題，然而至少較第三方APP下載平台要來的安全。
「Mac電腦不會得到病毒」這個古老傳說被證明不再堅不可破。永遠不要認為自己的Mac電腦不會感染。

參考連結：

https://www.hackread.com/macupdate-hacked-to-distribute-mac-cryptocurrency-miner/
https://blog.malwarebytes.com/threat-analysis/2018/02/new-mac-cryptominer-distributed-via-a-macupdate-hack/