Владельцы компьютеров под управлением macOS подверглись атаке нового зловреда. Программа использует вычислительные мощности скомпрометированного устройства для генерации криптовалюты Monero. Скрипт прячется за процессом mshelper, который стартует при запуске компьютера и использует ресурсы центрального процессора.

Специалисты пока не могут точно определить, каким способом программа попадает на устройство, однако предполагают, что зловред использует какой‑нибудь незамысловатый способ заражения. Эксперты считают, что он может скрываться в фальшивом установщике Flash Player, письме с вредоносным документом или пиратском софте.

Злоумышленники запускают на скомпрометированном устройстве файл pplauncher, который тут же создает скрипт автозагрузки. Это свидетельствует о том, что установщик обладает root-привилегиям на зараженном компьютере.

Приложение имеет относительно большие размеры — 3,5 Мб. Специалисты связывают это с тем, что для его создания использовался язык программирования Golang. Исполняемый файл содержит избыточный код, ненужный для программы с такой функциональностью. Скорее всего, это означает, что автор зловреда не очень хорошо знаком с программированием для macOS.

ИБ-специалисты отмечают, что программа не причиняет ущерб компьютеру и относительно безвредна. Помимо замедления работы системы, дополнительная нагрузка на процессор может привести лишь к перегреву машины.

Пока большинство антивирусных программ не обнаруживают новый зловред, либо не удаляют его полностью — после перезагрузки системы процесс возобновляется. Пользователи скомпрометированных устройств могут самостоятельно очистить систему от незваных гостей. Для этого достаточно удалить файлы com.pplauncher.plist и pplauncher, после чего перезагрузить компьютер.

Это не первый криптомайнер, нацеленный на владельцев Mac. В феврале сайт MacUpdate по ошибке в течение суток распространял вредоносное приложение OSX.CreativeUpdate, заражавшее систему под видом обновления для браузера.

Категории: Вредоносные программы, Главное