Mughthesec

Mughthesec is een PUP (potentieel ongewenste programma) dat zich heeft verspreid onder Mac-gebruikers. De dubieuze applicatie vertrouwt op misleidende distributietactieken die verhullen dat het op het Mac-systeem van de gebruiker wordt geïnstalleerd. Analyse uitgevoerd door de infosec-onderzoeker Patrick Wardle onthulde dat Mughthesec een nieuwere versie is van een eerder gedetecteerde PUP genaamd SafeFinder / Operator Mac.

De Mughthesec-applicatie wordt geïnjecteerd in een nep Adobe Flash-installatieprogramma dat op het apparaat van de gebruiker wordt neergezet. Het nep-installatieprogramma is uitgerust met een VM-detectieroutine. Als een virtuele omgeving wordt ontdekt, levert het installatieprogramma een legitieme kopie van Flash. In alle andere gevallen zal de PUP contact opnemen met de Command-and-Control-server (C2, C&C) en een groot aantal dubieuze applicaties aan het apparaat leveren, waaronder een frauduleuze hulpprogramma genaamd Advanced Mac Cleaner, de Safe Finder-adware en een browserkaper. genaamd Booking.com.

De combinatie van al deze hoax-applicaties zal leiden tot een ernstig verminderde ervaring tijdens het gebruik van het getroffen apparaat. De webbrowser wordt ingehaald - de startpagina opent nu de hoofdpagina van een nep-zoekmachine, terwijl de zoekmachine voor de URL-adresbalk wordt gewijzigd via een Safari-extensie genaamd AnySearch. Tegelijkertijd zal de Advanced Mac Cleaner PUP proberen gebruikers bang te maken om zijn betaalde versies te kopen door middel van valse waarschuwingsberichten over niet-bestaande malwarebedreigingen of andere problemen die zogenaamd zijn gedetecteerd.

Om de gevolgen van Mughthesec op te vangen, zullen gebruikers eerst alle aanvullende applicaties moeten verwijderen die op hun computers zijn afgeleverd. Verwijder daarna de launch-agent die is ingesteld door Mughthesec en bevindt zich op de locatie ~ / Library / LaunchAgents / com.Mughthesec.plist.

Apple heeft het ontwikkelaarscertificaat ingetrokken dat door Mughthesec werd misbruikt om zijn bestanden te ondertekenen, zodat macOS alle toekomstige pogingen om deze versie van de valse Flash-installatieprogramma's uit te voeren, zal blokkeren. Het lijdt echter geen twijfel dat de oplichters achter Mughthesec binnenkort een nieuwe versie met een ander certificaat zullen lanceren. Mac-gebruikers moeten waakzaam blijven en letten op de applicaties die ze installeren.