fbpx
Tech

Apple ancora vittima dei cryptominer: ecco XMRig

Si chiama XMRig il nuovo cryptominer che si sta insediando nei nostri Mac. Il malware si propaga ad una velocità inaudita e consuma rapidamente tutte le risorse del sistema, rendendo il pc pressochè inutilizzabile.

Il processo intaccato è mshelper, e viene utilizzato per minare Monero. La sua compromissione provoca un aumento improvviso dei processi della CPU, rallentandola drasticamente.

LA DIFFUSIONE

Nei primi tempi, il malware veniva diffuso tramite e-mail e altri semplici mezzi, come i social network e fake installer di Adobe Flash Player. Attualmente, però, la distribuzione avviene con altri mezzi che non sono ancora stati identificati dai ricercatori.

COME AVVIENE L’INFEZIONE

Inizialmente, un file denominato pplauncher viene installato nella directory specifica riportata qui sotto

        /Library/Application
Support/pplauncher/pplauncher

Il file in questione viene scritto in linguaggio Golang e compilato appositamente per il Mac. La sua esecuzione è continua e svolge un ruolo fondamentale per l’installazione del cryptominer.

Il processo che provvede all’esecuzione del malware è, per l’appunto, mshelper. Si tratta di un processo presente correntemente in tutti i dispositivi che può però essere sfruttato come miner. La cartella di destinazione è la seguente

/tmp/mshelper/mshelper

Si tratta di una versione obsoleta rispetto al miner XMRig, che viene installato sui Mac tramite Homebrew, il servizio di installazione automatica dei file ritenuti utili dal sistema.

Un malware imperfetto

Da Malwarebytes ci arriva però un ulteriore dato molto importante. Scrivendo in Golang, si ottiene un file contenente più di 23mila funzioni. Un numero decisamente eccessivo considerando la semplicità dell’operazione compiuta dal processo! Per questo motivo si può dedurre che chi ha progettato il malware non sia molto pratico di prodotti Apple e per tale motivo potrebbe non essere in grado di perfezionarlo.

In qualunque caso, mshelper non crea problemi al dispositivo finchè non viene abusato dal malware. Se rilevaste quindi dei surriscaldamenti, è possibile risolvere il problema semplicemente spegnendo tale processo.

Facebook Comments

Michele Carillo

Ho studiato programmazione per 5 anni, ma la passione per il mondo informatico è nata dopo il primo "tour" sul deep web. In quel momento ho capito l'importanza della sicurezza e ho iniziato a studiare cybersecurity dalla base. Attualmente lavoro come amministratore di rete e impiegato contabile in una piccola azienda di Milano.

Twitch!

Canale Offerte Telegram!