Let op! Downloadsite MacUpdate verspreidde malware

Door: Raymon Mens - 17 reacties

Malware op de Mac is zeldzaam, maar komt vaak van legitieme bronnen die gehackt of op een andere manier overgenomen worden. Vandaag is het weer raak en heeft de website MacUpdate malware verspreid. De site bestaat al sinds 1996 en wordt als een respectabele bron gezien.

De malware zat bij downloads van Firefox, OnyX en Deeper. Het ging om besmette installatiebestanden die niet alleen de app installeerden, maar ook een cryptominer. Dit is malware die je Mac misbruikt om naar cryptomunten te zoeken. Dit belast je Mac aanzienlijk, waardoor traagheid ontstaat.

OSX.CreativeUpdate

Beveiligingsbedrijf Malwarebytes ontdekte de malware en trok aan de bel. Alle gebruikers die Firefox, OnyX of Deeper sinds 1 februari via MacUpdate hebben gedownload, zijn waarschijnlijk besmet met de malware die OSX.CreativeUpdate is genoemd. Gelukkig is de kwaadaardige software eenvoudig te verwijderen:

  • Verwijder Firefox, OnyX of Deeper van je Mac.
  • Open de Finder op je Mac en kies in het menu ‘Ga’ voor ‘Ga naar map’.
  • Ga naar de map ‘~/Library/’.
  • Check of in deze map de map ‘mdworker’ staat. Indien ja, dan ben je besmet. Verwijder deze map.
  • Ga weer terug naar ‘~/Library/’ map en open de map ‘LaunchAgents’.
  • Verwijder de bestanden ‘MacOS.plist’ en ‘MacOSupdate.plist’ uit de map LaunchAgents.
  • Leeg de prullenbak en herstart je Mac.
  • Installeer Firefox, OnyX of Deeper opnieuw via de websites van de ontwikkelaars

Als dit je te lastig lijkt, kun je ook Malwarebytes voor Mac of DetectX Swift laten scannen en de malware laten verwijderen.

MacUpdate is overbodig geworden

In een reactie laat MacUpdate weten dat het verspreiden van de malware volledig hun fout is. Een werknemer heeft updates gepusht die van een onbetrouwbare bron kwamen, de makers van de malware hebben bewust een url gemaakt die bijna niet van de legitieme bron is te onderscheiden. Het domein mozilla-cdn.net werd gebruikt om de malware te verspreiden, terwijl FireFox op cdn.mozilla.net aangeboden wordt.

Het is op zijn minst zorgelijk dat MacUpdate (na meer dan 20 jaar in business te zijn) geen mechanisme heeft dat aangeboden downloads scant. Een werknemer kan blijkbaar een url invoeren en de update wordt naar alle gebruikers van de desktop-app van MacUpdate verspreid. Die installeert veel updates automatisch en zo raken gebruikers besmet.

Macupdate screenshot
De desktop-app van MacUpdate is een soort alternatieve App Store voor apps die niet in de Mac App Store staan – Klik/tap voor groter.

Wij zijn van mening dat je alleen apps moet installeren die uit Apple’s eigen App Store komen, of direct van de website van de ontwikkelaar. De meeste moderne apps updaten automatisch, daar heb je geen verzamelsites als MacUpdate voor nodig. Een directe download biedt overigens ook niet altijd de garantie op een schone download, want vorig jaar werd de bekende video-app HandBrake besmet met malware. Eerder was het al raak bij Torrent-app Transmission.

Bedankt voor de tip: Macteach!

Reacties

17 reacties
  • Profielfoto
    Shmoo

    De kans is denk ik best wel aannemelijk dat OMT’er Sedikit hierdoor getroffen zal zijn.

    Hij is namelijk zo’n favoriet van deze site en deelt altijd (verborgen) tiny-url redirect linkjes uit richting deze site. Hij is ook een Firefox gebruiker dus de kans is groot dat hij deze rotzooi op zijn systeem heeft staan.

     

     

  • Profielfoto
    marco.nl

    Shmoo op 5 februari 2018 15:40
    De kans is denk ik best wel aannemelijk dat OMT’er Sedikit hierdoor getroffen zal zijn.

    Hij is namelijk zo’n favoriet van deze site en deelt altijd (verborgen) tiny-url redirect linkjes uit richting deze site. Hij is ook een Firefox gebruiker dus de kans is groot dat hij deze rotzooi op zijn systeem heeft staan.

     

     

    Sorry, ik en anderen kunnen er niet veel met je mededeling. Misschien moet jij even een pm sturen naar Sedikit zelf. Stelt hij vast op prijs.

     

  • Profielfoto
    TheBigZ

    Ik begrijp wel waar Shmoo op doelt.  Er zijn inderdaad helaas nog steeds mensen die gebruik maken van die ‘tiny URL’ trucs in hun postings hier op OMT (en bij “de buren”), terwijl je ondertussen moet snappen dat geen weldenkend mens nog op dat soort vage links zou moeten klikken, omdat je namelijk niet weet op welke (al dan niet malefide) website je dan terecht komt.

  • Profielfoto
    Macteach

    Gied te zien dat mijn forumbericht opgepikt is en hier nu is vermeld.

  • Profielfoto
    sedikit

    Shmoo op 5 februari 2018 15:40
    De kans is denk ik best wel aannemelijk dat OMT’er Sedikit hierdoor getroffen zal zijn.

    Hij is namelijk zo’n favoriet van deze site en deelt altijd (verborgen) tiny-url redirect linkjes uit richting deze site. Hij is ook een Firefox gebruiker dus de kans is groot dat hij deze rotzooi op zijn systeem heeft staan.

     

     

    @Shmoo,

    (je blijkt mij nogal te volgen niet? Mag hoor. Maar niet de verkeerde conclusies trekken)

    Ik geef inderdaad wel eens linkjes door naar MacUpdate, zoals dat wereldwijd ontelbare malen gebeurt, om iemand te helpen. Maar ik heb nog nooit een link via MacUpdate van Firefox gegeven. En àls ik dat al gedaan heb, geef ik altijd de link van Firefox zèlf, waar je alle talen kunt krijgen. Mag ik?:

    https://www.mozilla.org/en-US/firefox/all/

    En evenmin Onyx en Deeper.  Die gebruik ik niet eens. Dus Shmoo, ik ben door geen van deze applicaties getroffen!

     

  • Profielfoto
    Macteach

    “Goed”

  • Profielfoto
    Tomac5

    goed dat we dit weten! Gebruiken mensen überhaupt nog zulke programma’s?

     

    Ondertussen word ik afgeleid door advertenties rechts van teen-steunzolen en andere voet protheses. Bijzondere keus van adverteerders heeft OMT:)

     

  • Profielfoto
    marco.nl

    Tomac5 op 5 februari 2018 16:55
    goed dat we dit weten! Gebruiken mensen überhaupt nog zulke programma’s?

     

    Ondertussen word ik afgeleid door advertenties rechts van teen-steunzolen en andere voet protheses. Bijzondere keus van adverteerders heeft OMT:)

     

    Je zal in het verleden vanaf je device vast wel’s op iets gegoogled hebben waardoor jij nu gezien wordt als iemand die intresse kan hebben in teen-steunzolen en andere voet proteheses. Ik krijg dergelijke advertenties hier op OMT niet te zien. Immers, zo werken google advertenties nu eenmaal. Je hoeft in het verleden niet eens letterlijk op steunzolen te hebben gezocht om gezien te worden als potientele koper.

    :)

  • Profielfoto
    Das

    Macupdate “verpakt” al een paar jaar rotzooi in zijn downloads, dat is ook al erg lang bekend. Geen nieuws dus… Op de site kun je in de comments van de gebruikers genoeg daarover vinden. Ik download daar nooit rechtstreeks maar altijd van de developer.

  • Profielfoto
    Mac Hammer Fan

    Ik vind met EasyFind liefst 23 bestanden van mdworker op mijn computer. Nochtans detecteert mijn virusscanner Avast niets.
    Voorbeelden zijn mdworker32, mdworker.sb in usr/share/sandbox, mdworker.plist in de voorkeuren, mdworker-sizing, – scan, – mail.sb; -lsb.sb en -bundle sb in usr/share sandbox, mdworker en libmdworker.dylib in Framework/ VersionsA/ support en acht keer com.apple.mdworker…..plist in system/library/LaunchAgents.
    Malwarebytes versie van 2016 detecteert ook niets.
    MacOS.plist vind ik niet in Launch Agents, wel info-macos.plist in System/Library/PrivateFramework/Versions
    Moet ik me zorgen maken?

  • Profielfoto
    Mac Hammer Fan

    Wat een miserie, ik kan dit bericht niet bewerken, maar ik voeg er nog aan toe dat ik nooit iets download van MacUpdate.

  • Profielfoto
    Macteach

    De mdworker die jij vindt is simpelweg Spotlight! Ga die nou NIET wissen want dan ligt je systeem in puin. Download DetectX en kijk of die wat vindt, zo niet zit je goed;-)

  • Profielfoto
    Mac Hammer Fan

    Heb het programma gedownload en gerund. ZipCloud resten verwijderd, maar DetectX registreert blijkbaar mijn Wondershare VidoConverter en CleanMyMac ook als malware. Dat kan toch de bedoeling niet zijn?

  • Profielfoto
    Macteach

    Nou en of, CleanMyMac wordt gezien als adware!

  • Profielfoto
    Mac Hammer Fan

    CleanMyMac is toch iets heel anders dan MacKeeper of Advanced MacCleaner. Deze laatste twee zijn wel malware, CleanMyMac is dat niet.

    https://www.appletips.nl/gebruik-cleanmymac-3-om-je-mac-fit-te-houden/

  • Profielfoto
    xaddict

    Nee echt, MacUpdate?! Dan maar gauw de computer opschonen met MacKeeper of CleanMyMac 😉 😉 😉

    PS. Please don’t.

  • Profielfoto
    m4v3r1ck

    OnyX en EtreCheck doen het bij mij! 😎