Mughthesec

Mughthesec是一个PUP（潜在有害程序），已经传播到Mac用户。可疑的应用程序依赖于欺骗性的分发策略，该策略隐藏了将其安装在用户的Mac系统上的事实。信息安全研究员Patrick Wardle进行的分析表明，Mughthesec是先前检测到的名为SafeFinder / Operator Mac的PUP的更新版本。

Mughthesec应用程序被注入到伪造的Adobe Flash安装程序中，该安装程序被拖放到用户的设备上。伪造的安装程序配有VM检测例程。如果发现虚拟环境，则安装程序将提供Flash的合法副本。在所有其他情况下，PUP将联系其命令和控制（C2，C＆C）服务器，并将大量可疑应用程序交付给该设备，包括一个名为Advanced Mac Cleaner的流氓实用程序，Safe Finder广告软件和一个浏览器劫持程序。名为Booking.com。

所有这些骗局应用程序的组合将导致在使用受影响的设备时严重减少用户体验。 Web浏览器将被取代-主页现在将打开伪造的搜索引擎的主页，而URL地址栏的搜索引擎将通过一个名为AnySearch的Safari扩展程序进行更改。同时，Advanced Mac Cleaner PUP会试图通过关于不存在的恶意软件威胁或据认为已检测到的其他问题的虚假警告消息，来吓users用户购买其付费版本。

为了处理Mughthesec带来的后果，用户首先必须删除交付给他们计算机的所有其他应用程序。之后，删除由Mughthesec建立的启动代理，该代理位于〜/ Library / LaunchAgents / com.Mughthesec.plist位置。

苹果已经撤销了Mughthesec滥用的开发人员证书来对其文件进行签名，因此macOS将阻止以后再尝试运行此版本的假Flash安装程序。但是，毫无疑问，Mughthesec背后的骗子将很快发布具有不同证书的新版本。 Mac用户应保持警惕，并注意他们正在安装的应用程序。