众多Mac用户感染恶意软件成为Monero矿工

      Mac加密恶意软件最近一直在增加，就像Windows系统一样。 在过去的几周里，许多Mac用户已经感染了一个新的Monero矿工，感染证实了这种恶意软件的崛起。这种软件名为XMRig的合法开源挖掘工具的旧版本，受感染的Mac系统会启动“mshelper”进程，挖掘Monero加密货币。

 

大量用户感染恶意软件 被用来挖掘Monero加密货币

      据研究人员称，过去几周中，许多Mac用户都感染了一种新型Monero恶意软件。 受感染的Mac系统的所有者注意到存在一个名为“mshelper”的进程消耗了大量的CPU电力并耗尽了他们的电池。

“恶意软件在苹果论坛的帖子中成为公众所知  ，其中” mshelper “进程被发现是罪魁祸首。 深入挖掘，发现还安装了其他可疑进程。 我们去搜索并找到这些文件的副本。“

“恶意软件正在挖掘Monero加密货币。 这是它的组件的细分。“

      Mac恶意软件很可能由伪装的Adobe Flash Player安装程序安装，通过从盗版网站下载或特意诱骗受害者打开它们的诱饵文档。

      据专家介绍， 启动程序 pplauncher 文件通过启动守护程序（com.pplauncher.plist）保持活动状态，这种情况表明该删除程序的root权限。 该启动器是用Golang开发的，它有一个相对较大的可执行文件（3.5 Mb），执行这个恶意程序只需要安装和启动这两个简单步骤。

“ 使用Golang引入了大量开销，导致包含超过23,000个函数的二进制文件。 使用它看起来很简单的功能可能是一个线索，表明创建它的人不太熟悉Mac。“

      Malwarebytes发表的分析报告继续说道。

Monero矿工进程mshelper 删除安装文件即可

      Monero矿工是名为XMRig的合法开源挖掘工具的旧版本

      XMRig是一款高性能的Monero（XMR）CPU矿工，具有对Windows的官方支持。 最初基于cpuminer-multi进行繁重的优化/重写并删除了大量遗留代码，因为1.0.0版完全从C ++重写。

      恶意软件启动程序创建 安装在以下位置 的矿工进程 mshelper ：

/ tmp / mshelper / mshelper

      这种恶意软件并不是特别危险，但如果受感染的系统出现故障，例如风扇损坏或通风口堵塞，可能会导致过热。

“虽然mshelper进程实际上是一个合法的软件被滥用，但它应该与其他恶意软件一起被删除，”

“这种恶意软件会跟随 macOS的 其他 密码 器，例如Pwnet，CpuMeaner和 CreativeUpdate 。 “

      用户可以 通过删除这两个文件并重新启动他们的设备 来手动删除恶意软件：

• /Library/LaunchDaemons/com.pplauncher.plist
• / Library / Application Support / pplauncher / pplauncher

来源：securityaffairs

转自： http://toutiao.secjia.com/mac-computers-miners

标签： 代码 权限 搜索 网站 用户

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。