macOS атакует новый вредоносный майнер, добывающий криптовалюту Monero

macOS атакует новый вредоносный майнер, добывающий криптовалюту Monero

macOS атакует новый вредоносный майнер, добывающий криптовалюту Monero

Многие пользователи macOS сообщили об обнаружении в свои системах процесса с именем «mshelper». Этот процесс, как отмечали пользователи, максимально использовал ресурсы CPU и быстро приводил к разрядке батареи. Оказалось, что mshelper связан с вредоносной программой, добывающей криптовалюту Monero (XMR).

Проанализировав этот macOS-зловред, исследователи не смогли прийти к заключению, как именно он распространяется. Были высказаны предположения, что это могут быть поддельные файлы для установки Flash Player, вредоносные документы или пиратское программное обеспечение.

Эксперты отметили, что файл с именем pplauncher поддерживался в активном состоянии демоном com.pplauncher.plist, это может говорить о том, что у дроппера имелись root-привилегии в системе. Вредонос написан на языке Golang (Go), при этом он весит  довольно много — 3,5 Мб.

«Использование языка Golang привело к тому, что на выходе получился двоичный файл, содержащий более 23 000 функций. Это отчасти доказывает, что разработчик не очень знаком с системой macOS», — говорит анализировавший вредоносную программу эксперт Томас Рид.

После установки лаунчер запускает файл mshelper, который будет майнить криптовалюту. Для майнинга используется инструмент с открытым исходным кодом — XMRig.

«Вообще, этот вредонос не должен представлять опасность для вашего компьютера, если у вас, конечно, нет проблем с повреждениями вентиляторов или забитыми пылью вентиляционными отверстиями — в этом случае майнер моет вызвать перегрев. Несмотря на то, что mshelper представляет собой легитимный инструмент, используемый во вредоносных целях, его все равно нужно удалить из системы», — продолжает Рид.

Исходя из того, что говорили пользователи, антивирусы либо не смогли изначально обнаружить угрозу, либо не смогли до конца удалить ее после обнаружения, так как вредонос появлялся вновь после перезагрузки системы.

В настоящий момент, когда новости о майнере появились на многих ресурсах, разработчики антивирусов, скорее всего, выпустят обновления баз, которые смогут справиться со зловредом.

Более того, пользователи могут и сами избавиться от майнера, для этого достаточно найти и удалить следующие файлы:

/Library/LaunchDaemons/com.pplauncher.plist

/Library/Application Support/pplauncher/pplauncher

После чего перезагрузить компьютер.

В начале прошло месяца специалисты Trend Micro обнаружили бэкдор для macOS, который, по предположениям экспертов, используется группой киберпреступников OceanLotus (другие имена: APT 32, APT-C-00, SeaLotus и Cobalt Kitty).

Мошенникам хватает ФИО, даты рождения и телефона, чтобы заблокировать счёт

Для новой неприятной схемы злоумышленникам не нужны вредоносные программы, фишинговые сайты и взлом банковского приложения. Иногда хватает телефона, уверенного голоса и базовых персональных данных, отмечают специалисты.

Как рассказал «Газете.Ru» основатель компании «Интернет-Розыск» Игорь Бедеров, мошенники могут дистанционно заблокировать банковский счет жертвы, если знают ее ФИО, дату рождения и номер телефона, привязанный к счету.

Сценарий в этом случае простой: злоумышленник звонит на горячую линию банка, представляется клиентом и сообщает, что потерял телефон или банковскую карту. Если оператор или автоматизированная система считают названные данные достаточными для идентификации, счет могут оперативно заблокировать.

И вот тут начинается самое неудобное: отменить такую блокировку дистанционно обычно нельзя. Настоящему владельцу счета приходится идти в отделение банка с паспортом и проходить физическую идентификацию. То есть мошенник потратил пару минут, а жертва — время, нервы и доступ к собственным деньгам.

По словам Бедерова, эта схема опасна тем, что использует не техническую уязвимость, а особенности банковских бизнес-процессов. При этом нужные данные часто уже есть в открытом доступе или в утечках. Дата рождения в соцсетях, номер телефона в объявлениях, ФИО в разных сервисах, и вот пазл почти собран.

Эксперт советует завести отдельный номер телефона для банковских сервисов и двухфакторной аутентификации. Такой номер не стоит публиковать в соцсетях, мессенджерах, объявлениях и других открытых источниках.

Также лучше убрать дату рождения из публичных профилей. Это не просто милая информация для поздравлений, а один из параметров, который могут использовать для давления на банк.

Если счет уже заблокировали по чужому звонку, пользователь может обратиться в банк с заявлением, потребовать расследование инцидента, запись разговора и номер телефона, с которого якобы звонил «клиент».

RSS: Новости на портале Anti-Malware.ru