В заражённом компьютере выполняется совокупность вредоносных процессов, которым удаётся захватить значительную часть вычислительной мощности процессора, однако для самих Mac’ов это заражение «не особенно опасно», об этом сообщил директор Malwarebytes по Mac и мобильным устройствам Томас Рид.
«Пользователи могут обнаружить, что их вентиляторы выходят из-под контроля, а процесс «mshelper» начинает пожирать вычислительные ресурсы процессора, словно Коржик из «Улицы Сезам». К счастью, это не очень сложная программа, и удалить её нетрудно. Массовой аудитории об этом вредоносном ПО стало известно из поста на форумах Apple, где главным виновником назвали процесс «mshelper». После углубленного изучения темы также обнаружилась установка и пары других подозрительных процессов. Мы начали искать и нашли копии этих файлов», — отметил Томас Рид.
Известно, что сам вирус состоит из трёх частей: дроппера (программы, которая устанавливает вредоносное ПО), средства запуска и самого майнера, который основан на Monero-майнере XMRig с открытым кодом.
Майнер устанавливает программа «pplauncher». Интересен тот факт, что программа написана на языке Golang, и Рид считает это довольно странным выбором.
«Использование этого языка для столь простой задачи, возможно, является признаком того, что человек, который сделал это, не особенно знаком с Mac’ами»,— добавил Рид.
Обнаружить дроппера пока не удалось. Однако специалисты Malwarebytes отметили, что в прошлые разы, в роли дропперов выступали фейковые установщики Adobe Flash Player и другие установочные программы.
Специалисты поспешили успокоить пользователей заявив, что майнер хоть и неприятен, но не сложен, и удалить его не составляет труда.
«В последнее время крипто-майнеры для Mac на подъёме – как и в мире Windows. Что касается конкретно этой вредоносной программы, это ещё один образец крипто-майнера для macOS. Я предпочту заразиться крипто-майнером, чем какой-то другой вредоносной программой, но это все равно не делает такое ПО чем-то хорошим», — заключил Томас Рид.