Monday , 25 June 2018

Вірус-майнер Monero атакував Apple

Минулого тижня на форумах Apple повідомлялося про нову вірусну атаку націлену на користувачів Mac від Apple, яка змушує їх мимоволі запускати програмне забезпечення, яке запускає процес майнінгу Monero.

Згідно з повідомленням блогу корпорації з кібербезпеки Malwarebytes Labs, програмне забезпечення було виявлено, коли користувач помітив, що процес під назвою mshelper споживає підозріло великі обсяги процесорного часу. Користувач сказав, що mshelper постійно з’являвся в розділі CPU монітора активності на високих рівнях. Спроба використати BitDefender і Malwarebytes виявилася марною для виявлення ПЗ.

Один з читачів запропонував запустити Etrecheck, який відразу ж ідентифікував шкідливе ПЗ і дозволив жертві видалити його.

Виявлені компоненти шкідливої ​​програми

Лабораторія Malwarebytes Labs повідомила, що були встановлені інші підозрілі процеси: дроппер, який встановлює шкідливе ПЗ, засоби запуску і самого майнер, який заснований на Monero-майнері XMRig з відкритим кодом.

Дослідники виявили місце розташування файлу запуску, званого «pplauncher», який був написаний в Golang для macOS, його метою було встановити і запустити процес майнера. Golang вимагає певного обсягу витрат, що призводить до створення виконуваного файлу з більш ніж 23 000 завдань. Використання цієї мови для простої мети означає, що творець не дуже добре обізнаний про пристрої Mac.

Процес mshelper виглядає як стара версія XMRig miner, законного майнера, який може бути розгорнутий з використанням Homebrew на Mac. Інформація з поточного XMRig вказує, що він був побудований 7 травня 2018 року за допомогою clang 9.0.0.

Коли та ж сама інформація запитувалася з процесу mshelper, вона вказала, що він був побудований 26 березня 2018 року, з clang 9.0.0.

У лабораторії Malwarebytes прийшли до висновку, що mshelper – це стара копія XMRig, використовувана для створення криптовалюти в інтересах хакера. У pplauncher наводяться оператори командного рядка, включаючи параметр, який вказує користувача.

Дослідники заявили, що шкідливе ПЗ для майнінгу не є небезпечним, за умови, що призначений для користувача Mac має справну вентиляцію і перегрів йому не загрожує. Видалити вірус-майнер не складає особливих труднощів.

Нова шкідлива програма – тепер відома як OSX.ppminer – входить в число криптомайнеров, таких як Creative Update, CpuMeaner і Pwnet для macOS.

Leave a Reply

Your email address will not be published. Required fields are marked *