Компания Malwarebytes Labs сообщает, что обнаружен новый скрытый майнер, заражающий компьютеры от Apple. Первым майнер обнаружил обычный пользователь, который заметил на своем компьютере Mac запущенный процесс под названием mshelper. Этот процесс проявлял подозрительную активность и задействовал большую мощность CPU.
Пользователь установил антивирус BitDefender, но он автоматически удалялся, сообщая, что удаление инициирует mshelper. Пользователь попытался использовать антивирус Malwarebytes, но он тоже оказался бесполезным. Помогла утилита EtreCheck, которая сразу идентифицировала вредоносное ПО как майнер Monero и смогла его удалить.
Malwarebytes Labs сообщила, что майнер попал на компьютер с помощью так называемого «дроппера», который устанавливает на компьютер вредоносные программы. Дроппер зачастую содержится в разного рода приманках, которые открывают сами пользователи, в файлах с пиратских сайтов и ложных инсталляторах Adobe Flash Player.
Исследователи проследили дроппер на Mac до файла pplauncher, который имеет root-права на установку программ. Файл pplauncher был написан на языке Go специально для macOS. Его целью как раз и является установка и запуск скрытого майнера.
Компания Malwarebytes пришла к выводу, что mshelper — это старая версия майнера XMRig miner, который неофициально может быть запущен на Mac. Хакер модифицировал его для автоматического запуска и скрытой работы. По мнению Malwarebytes, майнер не опасен для данных на компьютере, но может привести к перегреву.