Рекламное приложение Mughthesec для macOS выдаёт себя за Flash Player

Недавно был обнаружен новый вариант старого вредоносного приложения для компьютеров Mac, который умеет обходить установленные Apple защитные механизмы. Программа Mughthesec представляет собой улучшенную версию семейства OperatorMac, о чём сообщил исследователь Томас Рид из компании Malwarebytes. Компоненты приложения подписаны подлинным сертификатом для разработчиков, за счёт чего можно обойти систему Apple Gatekeeper, запрещающую установку неподписанных приложений.

Анализ показывает распространение Mughthesec через вредоносную рекламу под видом установщика для Adobe Flash Player. Если на компьютере обнаруживается виртуальная машина, то в самом деле устанавливается Flash Player. В противном случае ставятся программы вроде Advanced Mac Cleaner, Safe Finder и Booking.com, все они не относятся к безопасным.

После их установки приложение старается заработать как можно больше денег на показе рекламы. Домашняя страница в браузере Safari меняется на управляемый злоумышленниками домен, устанавливается поисковый движок AnySearch. Advanced Mac Cleaner выдаёт пользователям сообщения о том, что в системе найдены проблемы и их нужно исправить.

Исследователь в блоге описывает процесс удаления Mughthesec вручную, но приложение способно установить множество копий, так что рекомендуется переустановить операционную систему.