Mughthesec
Mughthesec est un PUP (programme potentiellement indésirable) qui s'est propagé aux utilisateurs de Mac. L'application douteuse repose sur des tactiques de distribution trompeuses qui cachent le fait qu'elle est en cours d'installation sur le système Mac de l'utilisateur. L'analyse effectuée par le chercheur de l'Infosec Patrick Wardle a révélé que Mughthesec est une version plus récente d'un PUP précédemment détecté nommé SafeFinder / Operator Mac.
L'application Mughthesec est injectée dans un faux programme d'installation Adobe Flash qui est déposé sur l'appareil de l'utilisateur. Le faux installateur est équipé d'une routine de détection de VM. Si un environnement virtuel est découvert, le programme d'installation fournira une copie légitime de Flash. Dans tous les autres cas, le PUP contactera son serveur de commande et de contrôle (C2, C&C) et fournira une foule d'applications douteuses à l'appareil, y compris une application utilitaire malveillante nommée Advanced Mac Cleaner, l'adware Safe Finder et un pirate de navigateur. nommé Booking.com.
La combinaison de toutes ces applications de canular conduira à une expérience considérablement réduite lors de l'utilisation de l'appareil concerné. Le navigateur Web sera dépassé - la page d'accueil ouvrira désormais la page principale d'un faux moteur de recherche, tandis que le moteur de recherche de la barre d'adresse URL sera modifié via une extension Safari nommée AnySearch. Dans le même temps, Advanced Mac Cleaner PUP tentera d'inciter les utilisateurs à acheter ses versions payantes via de faux messages d'avertissement concernant des menaces de logiciels malveillants inexistants ou d'autres problèmes qui auraient été détectés.
Pour faire face aux conséquences de Mughthesec, les utilisateurs devront d'abord supprimer toutes les applications supplémentaires qui ont été livrées à leurs ordinateurs. Ensuite, supprimez l'agent de lancement établi par Mughthesec situé à l'emplacement ~ / Library / LaunchAgents / com.Mughthesec.plist.
Apple a révoqué le certificat de développeur abusé par Mughthesec pour signer ses fichiers afin que macOS bloque toute tentative future d'exécuter cette version des faux installateurs Flash. Cependant, il ne fait aucun doute que les escrocs derrière Mughthesec vont bientôt lancer une nouvelle version avec un certificat différent. Les utilisateurs de Mac doivent rester vigilants et faire attention aux applications qu'ils installent.
