✔Пользователей Mac заражает майнер криптовалюты Monero - «Новости»

26 мая 2018 723 Новости 0

Исследователи пишут, что пока не удалось установить, как именно распространяется скрытый майнер. Вероятнее всего, малварь маскируется под Flash Player, содержится во вредоносных документах или пиратском ПО.

Активность лаунчера вредоноса, файла pplauncher, поддерживается демоном com.pplauncher.plist, а это позволяет предположить, что дроппер, вероятно, имеет root-привилегии на скомпрометированной системе. Сам лаунчер написан на Golang и «весит» внушительные 3,5 Мб. Аналитики Malwarebytes отмечают, что использование Golang приводит к тому, что бинарник содержит более 23 000 функций, а это явно слишком для такой простой функциональности, которая требовалась атакующему. Отсюда специалисты делают вывод, что преступник не слишком хорошо знаком с Mac’ами.

Лаунчер отвечает за создание вышеупомянутого процесса mshelper, который, в свою очередь, ответственен за добычу криптовалюты Monero. Как и во многих других случаях, злоумышленник использовал для реализации этой функциональности легитимное опенсорсное решение XMRig. Из-за этого, судя по сообщениям пострадавших, антивирусные продукты могут не реагировать на угрозу или удалять ее не полностью (майнер возвращается после перезагрузки).

«Эта малварь не представляет большой опасности, если только у вашего Mac нет проблем с кулерами и он не забит пылью, в таком случае [заражение] может привести к перегреву. Хотя процесс mshelper, по сути, злоупотребляет использованием легитимного ПО, он все равно должен быть удален, наряду с другим вредоносным софтом», — пишут исследователи.

Избавиться от майнера можно и самостоятельно, для этого понадобится найти и удалить два нижеуказанных файла, а затем перезагрузить устройство.

/Library/LaunchDaemons/com.pplauncher.plist

/Library/Application Support/pplauncher/pplauncher

Источник новости - google.com

В последние недели многие пользователи Mac заметили в своих системах странный процесс mshelper, который активно оттягивал на себя мощности процессора и способствовал ускорению разрядки батарей. Специалисты компании Malwarebytes проанализировали ситуацию и обнаружили малварь, которой было присвоено имя mshelper. Она заражает пользователей macOS майнером криптовалюты Monero (XMR). Исследователи пишут, что пока не удалось установить, как именно распространяется скрытый майнер. Вероятнее всего, малварь маскируется под Flash Player, содержится во вредоносных документах или пиратском ПО. Активность лаунчера вредоноса, файла pplauncher, поддерживается демоном com.pplauncher.plist, а это позволяет предположить, что дроппер, вероятно, имеет root-привилегии на скомпрометированной системе. Сам лаунчер написан на Golang и «весит» внушительные 3,5 Мб. Аналитики Malwarebytes отмечают, что использование Golang приводит к тому, что бинарник содержит более 23 000 функций, а это явно слишком для такой простой функциональности, которая требовалась атакующему. Отсюда специалисты делают вывод, что преступник не слишком хорошо знаком с Mac’ами. Лаунчер отвечает за создание вышеупомянутого процесса mshelper, который, в свою очередь, ответственен за добычу криптовалюты Monero. Как и во многих других случаях, злоумышленник использовал для реализации этой функциональности легитимное опенсорсное решение XMRig. Из-за этого, судя по сообщениям пострадавших, антивирусные продукты могут не реагировать на угрозу или удалять ее не полностью (майнер возвращается после перезагрузки). «Эта малварь не представляет большой опасности, если только у вашего Mac нет проблем с кулерами и он не забит пылью, в таком случае _