Raymon Mens
Raymon Mens Nieuws 5 februari 2018

Let op! Downloadsite MacUpdate verspreidde malware

Malware op de Mac is zeldzaam, maar komt vaak van legitieme bronnen die gehackt of op een andere manier overgenomen worden. Vandaag is het weer raak en heeft de website MacUpdate malware verspreid. De site bestaat al sinds 1996 en wordt als een respectabele bron gezien.

De malware zat bij downloads van Firefox, OnyX en Deeper. Het ging om besmette installatiebestanden die niet alleen de app installeerden, maar ook een cryptominer. Dit is malware die je Mac misbruikt om naar cryptomunten te zoeken. Dit belast je Mac aanzienlijk, waardoor traagheid ontstaat.

OSX.CreativeUpdate

Beveiligingsbedrijf Malwarebytes ontdekte de malware en trok aan de bel. Alle gebruikers die Firefox, OnyX of Deeper sinds 1 februari via MacUpdate hebben gedownload, zijn waarschijnlijk besmet met de malware die OSX.CreativeUpdate is genoemd. Gelukkig is de kwaadaardige software eenvoudig te verwijderen:

  • Verwijder Firefox, OnyX of Deeper van je Mac.
  • Open de Finder op je Mac en kies in het menu ‘Ga’ voor ‘Ga naar map’.
  • Ga naar de map ‘~/Library/’.
  • Check of in deze map de map ‘mdworker’ staat. Indien ja, dan ben je besmet. Verwijder deze map.
  • Ga weer terug naar ‘~/Library/’ map en open de map ‘LaunchAgents’.
  • Verwijder de bestanden ‘MacOS.plist’ en ‘MacOSupdate.plist’ uit de map LaunchAgents.
  • Leeg de prullenbak en herstart je Mac.
  • Installeer Firefox, OnyX of Deeper opnieuw via de websites van de ontwikkelaars

Als dit je te lastig lijkt, kun je ook Malwarebytes voor Mac of DetectX Swift laten scannen en de malware laten verwijderen.

MacUpdate is overbodig geworden

In een reactie laat MacUpdate weten dat het verspreiden van de malware volledig hun fout is. Een werknemer heeft updates gepusht die van een onbetrouwbare bron kwamen, de makers van de malware hebben bewust een url gemaakt die bijna niet van de legitieme bron is te onderscheiden. Het domein mozilla-cdn.net werd gebruikt om de malware te verspreiden, terwijl FireFox op cdn.mozilla.net aangeboden wordt.

Het is op zijn minst zorgelijk dat MacUpdate (na meer dan 20 jaar in business te zijn) geen mechanisme heeft dat aangeboden downloads scant. Een werknemer kan blijkbaar een url invoeren en de update wordt naar alle gebruikers van de desktop-app van MacUpdate verspreid. Die installeert veel updates automatisch en zo raken gebruikers besmet.

De desktop-app van MacUpdate is een soort alternatieve App Store voor apps die niet in de Mac App Store staan – Klik/tap voor groter.

Wij zijn van mening dat je alleen apps moet installeren die uit Apple’s eigen App Store komen, of direct van de website van de ontwikkelaar. De meeste moderne apps updaten automatisch, daar heb je geen verzamelsites als MacUpdate voor nodig. Een directe download biedt overigens ook niet altijd de garantie op een schone download, want vorig jaar werd de bekende video-app HandBrake besmet met malware. Eerder was het al raak bij Torrent-app Transmission.

Reageer op artikel:
Let op! Downloadsite MacUpdate verspreidde malware
Sluiten