В блоге компании Malwarebytes, занимающейся кибербезапасностью, появилась запись, в которой говорится о новом вирусе, заражающим компьютеры семейства Mac скрытым майнером криптовалюты Monero (XMR). 

О новой угрозе для пользователей продукции Apple рассказал директор Malwarebytes по Mac и мобильным устройствам Томас Рид. По его словам, на компьютерах, куда удалось проникнуть вирусу и запустить процесс «mshelper», запускается программа скрытого майнинга, добывающего криптовалюту Monero в пользу неизвестного злоумышленника.

Сам по себе процесс «mshelper» безвредный и его легко удалить, но пока он работает, значительная часть вычислительной мощности процессора расходуется на майнинг.

«О проблеме нам стало известно из постов на форумах Apple, где пользователи жаловались на вредоносный процесс «mshelper», который начинает пожирать вычислительные ресурсы процессора. Программа эта не сложная и удаляется без каких-либо проблем. Мы изучили поведение данного вируса и обнаружили еще несколько подозрительных процессов и копии вируса», — рассказал Рид.

Вирус состоит из трех частей: дроппера (программы-носителя, которая устанавливает вредоносное ПО), средства запуска и самого майнера, созданного на базе XMRig с открытым кодом.

Пока специалисты Malwarebytes не могут однозначно сказать какая программа является дроппером, но как правило это поддельные установщики Adobe Flash Player, хотя могут быть и другие установочные программы.

Известно, что для запуска вируса используется программа «pplauncher», устанавливающая майнер на компьютер жертвы, написана на языке Golang, который является довольно странным выбором. По мнению Рида, «использование этого языка для столь простой задачи — признак того, что человек сделавший это, мало знаком с Mac».

В конце Рид отметил, что «в последнее время наблюдается повышенная активность вирусов-майнеров как для Mac, так и для Windows. И все же, хотя я не считаю такое ПО чем-то хорошим, я бы предпочел заразиться майнером, чем какой-либо другой вредоносной программой».