macOS атакует новый вредоносный майнер, добывающий криптовалюту Monero

macOS атакует новый вредоносный майнер, добывающий криптовалюту Monero

Многие пользователи macOS сообщили об обнаружении в свои системах процесса с именем «mshelper». Этот процесс, как отмечали пользователи, максимально использовал ресурсы CPU и быстро приводил к разрядке батареи. Оказалось, что mshelper связан с вредоносной программой, добывающей криптовалюту Monero (XMR).

Проанализировав этот macOS-зловред, исследователи не смогли прийти к заключению, как именно он распространяется. Были высказаны предположения, что это могут быть поддельные файлы для установки Flash Player, вредоносные документы или пиратское программное обеспечение.

Эксперты отметили, что файл с именем pplauncher поддерживался в активном состоянии демоном com.pplauncher.plist, это может говорить о том, что у дроппера имелись root-привилегии в системе. Вредонос написан на языке Golang (Go), при этом он весит  довольно много — 3,5 Мб.

«Использование языка Golang привело к тому, что на выходе получился двоичный файл, содержащий более 23 000 функций. Это отчасти доказывает, что разработчик не очень знаком с системой macOS», — говорит анализировавший вредоносную программу эксперт Томас Рид.

После установки лаунчер запускает файл mshelper, который будет майнить криптовалюту. Для майнинга используется инструмент с открытым исходным кодом — XMRig.

«Вообще, этот вредонос не должен представлять опасность для вашего компьютера, если у вас, конечно, нет проблем с повреждениями вентиляторов или забитыми пылью вентиляционными отверстиями — в этом случае майнер моет вызвать перегрев. Несмотря на то, что mshelper представляет собой легитимный инструмент, используемый во вредоносных целях, его все равно нужно удалить из системы», — продолжает Рид.

Исходя из того, что говорили пользователи, антивирусы либо не смогли изначально обнаружить угрозу, либо не смогли до конца удалить ее после обнаружения, так как вредонос появлялся вновь после перезагрузки системы.

В настоящий момент, когда новости о майнере появились на многих ресурсах, разработчики антивирусов, скорее всего, выпустят обновления баз, которые смогут справиться со зловредом.

Более того, пользователи могут и сами избавиться от майнера, для этого достаточно найти и удалить следующие файлы:

/Library/LaunchDaemons/com.pplauncher.plist

/Library/Application Support/pplauncher/pplauncher

После чего перезагрузить компьютер.

В начале прошло месяца специалисты Trend Micro обнаружили бэкдор для macOS, который, по предположениям экспертов, используется группой киберпреступников OceanLotus (другие имена: APT 32, APT-C-00, SeaLotus и Cobalt Kitty).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Баг Google Photos сливал геолокацию и другие метаданные изображений

Google устранила уязвимость в своем сервисе Google Photos, которая позволяла условному злоумышленнику получить метаданные изображения. Например, в случае удачного использования этой бреши киберпреступник мог узнать данные геолокации фотографии, которую пользователь хранит в аккаунте Google Photos.

Подобную атаку эксперты в области безопасности называют утечкой по сторонним каналам браузера. Для ее реализации злоумышленник должен заманить жертву на вредоносный сайт.

На этом сайте располагается JavaScript-код, который «прощупывает» открытые аккаунты пользователя. Затем этот код замеряет время, которое требуется атакуемому сайту на ответ (это может быть даже ответ «отказано в доступе»).

Атакующий сравнивает полученные ответы, чтобы определить, имеются ли артефакты в аккаунте пользователя. Именно так эксперт Imperva Рон Масас обнаружил проблему Google Photos, которая приводила к утечке метаданных фото.

Специалист написал код JavaScript, который эксплуатировал функцию поиска в Google Photos. После того как пользователь попадал на вредоносный сайт, скрипт начинал использовать его браузер в качестве прокси для отправки запросов и поиска по учетной записи Google Photos.

По словам Масаса, он использовал для поиска фразу «мои фото из Исландии», чтобы определить, посещал ли пользователь когда-нибудь Исландию. В процессе импровизированной атаки эксперт замерял размер HTTP-ответа и время, которое требовалось Google Photos на ответ для каждого поискового запроса.

Также исследователь использовал интервалы дат, чтобы определить, когда атакуемый пользователь посещал определенное место. Другие данные можно было получить таким же способом, просто потребовались бы свои специфические запросы.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru