Понедельник , 20 Август 2018

Вирус-майнер Monero атаковал Apple

На прошлой неделе на форумах Apple сообщалось о новой вирусной атаке нацеленной на пользователей Mac от Apple, заставляющей их невольно запускать программное обеспечение, которое запускает процесс майнинга Monero.

Согласно сообщению блога корпорации по кибербезопасности Malwarebytes Labs, программное обеспечение было обнаружено, когда пользователь заметил, что процесс под названием mshelper потребляет подозрительно большие объемы процессорного времени. Пользователь сказал, что mshelper постоянно появлялся в разделе CPU монитора активности на высоких уровнях. Попытка использовать BitDefender и Malwarebytes оказалась бесполезной для выявления ПО.

Один из читателей предложил запустить Etrecheck, который сразу же идентифицировал вредоносное ПО и позволил жертве удалить его.

Выявленные компоненты вредоносной программы

Лаборатория Malwarebytes Labs сообщила, что были установлены другие подозрительные процессы: дроппер, который устанавливает вредоносное ПО, средства запуска и самого майнера, который основан на Monero-майнере XMRig с открытым кодом.

Исследователи обнаружили местоположение файла запуска, называемого «pplauncher», который был написан в Golang для macOS, его целью было установить и запустить процесс майнера. Golang требует определенного объема расходов, что приводит к созданию двоичного файла из более чем 23 000 задач. Использование этого языка для простой цели означает, что создатель не очень хорошо осведомлен о устройствах Mac.

Процесс mshelper выглядит как старая версия XMRig miner, законного майнера, который может быть развернут с использованием Homebrew на Mac. Информация из текущего XMRig указывает, что он был построен 7 мая 2018 года с помощью clang 9.0.0.

Когда та же самая информация запрашивалась из процесса mshelper, она указала, что он был построен 26 марта 2018 года, с clang 9.0.0.

В лаборатории Malwarebytes пришли к выводу, что mshelper — это старая копия XMRig, используемая для создания криптовалюты в интересах хакера. В pplauncher приводятся операторы командной строки, включая параметр, указывающий пользователя.

Исследователи заявили, что вредоносное ПО для майнинга не является опасным, при условии, что пользовательский Mac имеет исправную вентиляцию и перегрев ему не грозит. Удалить вирус-майнер не составляет особого труда.

Новое вредоносное ПО — теперь известное как OSX.ppminer — входит в число криптомайнеров, таких как Creative Update, CpuMeaner и Pwnet для macOS.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *