Monero Mining Malware frappe Apple Macs

Une nouvelle attaque de cryptojacking basée sur Mac a été rapportée la semaine dernière sur les forums d’Apple, forçant les utilisateurs à exécuter involontairement un logiciel qui mine la vie privée.

Selon un Labs Malwarebytes blog , le logiciel a été découvert lorsqu’un utilisateur a remarqué qu’un processus appelé « mshelper » consommé soupçonneux- de grandes quantités de temps CPU. L’utilisateur a indiqué que mshelper apparaissait constamment dans la section CPU de son moniteur d’activité à des niveaux élevés. Ils ont remarqué cela après l’installation de BitDefender, qui relayait constamment que mshelper le supprimait. Cet utilisateur a essayé d’utiliser Malwarebytes, ce qui s’est avéré inutile.

Un lecteur a suggéré d’exécuter Etrecheck, qui a immédiatement identifié le logiciel malveillant et a permis à la victime de le supprimer.

Composants de logiciels malveillants identifiés

Malwarebytes Labs a dit qu’il y avait d’autres processus suspects installés, pour lesquels il était capable de trouver des copies de fichiers.

Le « dropper » est le programme qui installe le malware. Les logiciels malveillants Mac sont souvent installés par des utilisateurs de documents leurres par erreur, des téléchargements de sites piratés et de faux programmes d’installation d’Adobe Flash Player. Le compte-gouttes est resté insaisissable pour cryptominer, mais Malwarebytes Labs estime qu’il s’agit d’un malware simple.

Les chercheurs ont trouvé l’emplacement d’un fichier de lancement appelé « pplauncher », qui est maintenu par un démon de lancement. Cela signifie que le compte-gouttes a probablement les privilèges root.

Le fichier pplauncher a été écrit dans Golang pour macOS, son but étant d’installer et de commencer le processus mineur. Golang nécessite une certaine quantité de surcharge qui provoque un fichier binaire de plus de 23 000 tâches. L’utiliser à des fins simples indique que le créateur ne connaît pas très bien les périphériques Mac.

Modelé sur un mineur légitime

Les attaques de cryptojacking détournent la puissance du processeur d’un ordinateur et l’utilisent pour exploiter des cryptocurrences comme monero pour l’attaquant.

Le processus mshelper donne l’apparence d’une ancienne version de XMRig mineur , un mineur légitime qui peut être déployé en utilisant Homebrew sur Mac. Les informations de l’actuel XMRig indique qu’il a été construit le 7 mai 2018 avec clang 9.0.0.

Lorsque la même information a été recherchée dans le processus mshelper, il a indiqué qu’il a été construit le 26 mars 2018, également avec clang 9.0.0.

Malwarebytes Labs a conclu que mshelper est une ancienne copie de XMRig utilisée pour créer la cryptomonnaie pour le bénéfice du pirate . Le pplauncher donne des instructions de ligne de commande, y compris un paramètre qui spécifie l’utilisateur.

Les chercheurs ont déclaré que les logiciels malveillants miniers  ne sont pas dangereux à moins que le Mac de l’utilisateur ait endommagé les ventilateurs ou les évents obstrués qui peuvent entraîner une surchauffe.

Le mshelper est un outil légitime que quelqu’un abuse, mais il doit encore être supprimé, ainsi que tous les logiciels malveillants.

Le nouveau malware – désormais connu sous le nom d’OSX.ppminer – s’inscrit dans la lignée des cryptomères tels que Creative Update, CpuMeaner et Pwnet pour macOS.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *