Si chiama XMRig il nuovo cryptominer che si sta insediando nei nostri Mac. Il malware si propaga ad una velocità inaudita e consuma rapidamente tutte le risorse del sistema, rendendo il pc pressochè inutilizzabile.
Il processo intaccato è mshelper, e viene utilizzato per minare Monero. La sua compromissione provoca un aumento improvviso dei processi della CPU, rallentandola drasticamente.
LA DIFFUSIONE
Nei primi tempi, il malware veniva diffuso tramite e-mail e altri semplici mezzi, come i social network e fake installer di Adobe Flash Player. Attualmente, però, la distribuzione avviene con altri mezzi che non sono ancora stati identificati dai ricercatori.
COME AVVIENE L’INFEZIONE
Inizialmente, un file denominato pplauncher viene installato nella directory specifica riportata qui sotto
– /Library/Application
Support/pplauncher/pplauncher
Il file in questione viene scritto in linguaggio Golang e compilato appositamente per il Mac. La sua esecuzione è continua e svolge un ruolo fondamentale per l’installazione del cryptominer.
Il processo che provvede all’esecuzione del malware è, per l’appunto, mshelper. Si tratta di un processo presente correntemente in tutti i dispositivi che può però essere sfruttato come miner. La cartella di destinazione è la seguente
/tmp/mshelper/mshelper
Si tratta di una versione obsoleta rispetto al miner XMRig, che viene installato sui Mac tramite Homebrew, il servizio di installazione automatica dei file ritenuti utili dal sistema.
Un malware imperfetto
Da Malwarebytes ci arriva però un ulteriore dato molto importante. Scrivendo in Golang, si ottiene un file contenente più di 23mila funzioni. Un numero decisamente eccessivo considerando la semplicità dell’operazione compiuta dal processo! Per questo motivo si può dedurre che chi ha progettato il malware non sia molto pratico di prodotti Apple e per tale motivo potrebbe non essere in grado di perfezionarlo.
In qualunque caso, mshelper non crea problemi al dispositivo finchè non viene abusato dal malware. Se rilevaste quindi dei surriscaldamenti, è possibile risolvere il problema semplicemente spegnendo tale processo.