本周,在受影响的用户看到他们的粉丝开始失控,一个名为“mshelper”的进程像Cookie Monster一样占用CPU时间后,一个新的Mac密码程序员被发现了。幸运的是,这种恶意软件不是很复杂,很容易删除。

恶意软件在一篇帖子中被公之于众苹果的论坛,其中发现“mshelper”进程是罪魁祸首。深入挖掘后,发现还安装了其他几个可疑的程序。我们去搜索,找到了这些文件的副本。

恶意软件正在挖掘门罗加密货币。下面是它的组成部分。

滴管

安全研究人员称安装恶意软件的程序为“dropper”。通常情况下,Mac恶意软件的安装程序包括假冒的Adobe Flash Player安装程序、盗版网站的下载程序、诱骗用户打开的欺骗性文件等。

目前下落不明,但我们认为不是什么复杂的东西。这个恶意软件的其他一切都说明它很简单。

的发射器

一个文件命名pplauncher安装位置如下:

~ /图书馆/应用支持/ pplauncher / pplauncher

这个文件由启动守护进程(com.pplauncher.plist),表示投递者必须具有根权限。

pplauncher是一个相当大的可执行文件(3.5 MB),用Golang编写,然后在macOS上编译。这个过程的唯一责任似乎是安装和启动miner过程这个相当简单的过程。

使用Golang会带来巨大的开销,导致一个二进制文件包含超过23,000个函数。用它来实现看似简单的功能,可能说明这个人对mac不是特别熟悉。

pplauncher SHA256: 8 f1938d082393713539abb9dfa8bfde8e1a09721f622e6e597d4560219ffca0d

矿工

矿工是mshelper进程,安装在这里:

/ tmp / mshelper / mshelper

这个过程似乎是合法的XMRig矿机的老版本,可以通过家酿软件安装在mac上。从当前XMRig获取版本信息会得到以下结果:

$ xmrig -V xmrig 2.6.2建立在可能7 2018 with clang 9.0.0 (clang-900.0.39.2)特点:64位AES

想要同样的信息mshelper过程给出了以下结果:

$ /tmp/mshelper/mshelper2018年3月26日,带有9.0.0版本(clang-900.0.39.2)特点:x86_64 AES-NI

很明显,mshelper只是xrig的一个旧版本,用于为恶意软件背后的黑客生成加密货币。的pplauncherProcess提供必要的命令行参数,例如下面指定用户的参数,使用字符串命令的pplauncher可执行文件:

——用户= 19531259765625
mshelper SHA256: a00f6fbb2e00d35f938534e1c20ba2e02311536bcf60be2165037d68cba141b2

Mac加密矿正在兴起

这种恶意软件并不是特别危险,除非你的Mac有风扇损坏或灰尘堵塞等可能导致过热的问题。尽管mshelper进程实际上是一个被滥用的合法软件,但它仍然应该和其他恶意软件一起被删除。

和Windows世界一样,Mac的加密恶意软件最近也在上升。该恶意软件跟随macOS的其他加密器,如Pwnet、CpuMeaner和CreativeUpdate。我宁愿被加密器感染也不愿被其他恶意软件感染,但这也不是什么好事。

如果你觉得自己感染了恶意软件,必威平台APP伪的Mac将删除它。我们检测到这个恶意软件是OSX.ppminer。