Nas últimas semanas, muitos utilizadores Mac foram infetados por um novo miner do Monero — as infeções confirmam o quão devastador tem sido este tipo de malware.

De acordo com os investigadores do Malwarebytes, muitos utilizadores Mac foram infetados com um miner do Monero nestas últimas semanas. Os proprietários dos sistemas Mac infetados notaram que a presença de um processo chamado “mshelper” consumia muita energia do CPU e descarregava rapidamente as baterias dos seus PCs.

“The malware became public knowledge in a post on Apple’s discussion forums, where the “mshelper” process was found to be the culprit. Digging deeper, it was discovered that there were a couple other suspicious processes installed as well. We went searching and found copies of these files.” reads the analysis published by MalwareBytes.

The malware is mining for Monero cryptocurrency. Here’s a breakdown of its components.”

 

monero-miner-virus-image_pt

 

O malware é provavelmente instalado através de instaladores falsos do Adobe Flash Player, através do download desse instalador em websites ilegítimos, ou documentos de isca especialmente criados para enganar as vítimas.

De acordo com os investigadores, o launcher, o arquivo pplauncher, é mantido ativo via um daemon de inicialização (com.pplauncher.plist), uma circunstância que sugere que o dropper tinha privilégios root. O launcher foi desenvolvido em Golang, e tem um arquivo executável relativamente grande (3.5 Mb).

Using Golang introduces significant overhead, resulting in a binary file containing more than 23,000 functions. Using this for what appears to be simple functionality is probably a sign that the person who created it is not particularly familiar with Macs.” continues the analysis published by Malwarebytes.

O launcher cria o processo miner mshelper que é instalado no seguinte local:

/tmp/mshelper/mshelper

O miner presenta uma versão antiga do XMRig — uma ferramenta open-source para mining.

Este malware não é particularmente perigoso, mas no caso de o sistema infetado ter um problema, como ventiladores danificados ou aberturas entupidas de poeira, pode causar superaquecimento.

“Although the mshelper process is actually a legitimate piece of software being abused, it should still be removed along with the rest of the malware,” concludes Malwarebytes.

“This malware follows other cryptominers for macOS, such as Pwnet, CpuMeaner, and CreativeUpdate. I’d rather be infected with a cryptominer than some other kind of malware, but that doesn’t make it a good thing.”

 

How to fix

Users can manually remove the malware by deleting these two files and rebooting their devices:

  • /Library/LaunchDaemons/com.pplauncher.plist
  • /Library/Application Support/pplauncher/pplauncher

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *