Обнаружено новое вредоносное ПО для майнинга криптовалюты на Mac

Обнаружено новое вредоносное ПО для майнинга криптовалюты на Mac

Процесс под названием mshelper сильно расходует мощности процессора и разряжает батарею.

Множество пользователей Mac сообщили о процессе под названием mshelper, который сильно расходует мощности процессора и разряжает батарею. Как выяснили исследователи из компании Malwarebytes, данный процесс связан с вредоносным ПО, предназначенным для тайного майнинга криптовалюты Monero (XMR).

Исследователи проанализировали mshelper, однако не смогли точно определить, как именно он распространяется. Предположительно злоумышленники используют фальшивые установщики Adobe Flash Player, вредоносные документы или пиратское программное обеспечение.

По словам экспертов, процесс запускается файлом под названием pplauncher и поддерживается активным с помощью демона com.pplauncher.plist, что может говорить о наличии у злоумышленников прав суперпользователя на взломанной системе. Загрузчик написан на языке программирования Golang и обладает сравнительно большим размером (3,5 Мб).

«Использование Golang приводит к значительному расходу дополнительных ресурсов. В результате двоичный файл вредоноса содержит более 23 тыс. функций, а его функционал довольно прост. Это может говорить о том, что человек, который его создал, не очень хорошо знаком с Mac», - пояснили исследователи.

Когда загрузчик создает процесс mshelper, скомпрометированное устройство начинает добычу криптовалюты Monero.

«Это вредоносное ПО не является особо опасным, если у вашего Mac нет проблем с поврежденными вентиляторами или забитыми пылью вентиляционными отверстиями, которые могут вызвать перегрев. Хотя процесс mshelper на самом деле является легитимным средством работы с программным обеспечением, он все равно должен быть удален вместе с остальной частью вредоносного ПО », - отметил специалист.

Основываясь на сообщениях жертв, антивирусные продукты изначально либо не обнаружили угрозы вообще, либо не смогли полностью удалить ее. В настоящее время компании по обеспечению безопасности, скорее всего, обновили свои продукты, чтобы обеспечить полное удаление.

Кроме того, пользователи могут вручную удалить вредоносное ПО, удалив два следующих файла и перезагрузив устройства:

/Library/LaunchDaemons/com.pplauncher.plist

/Library/Application Support/pplauncher/pplauncher

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!