MacのCPUを利用する「mshelper」はオープンソースの仮想通貨マイニングツール「XMRig」をMicrosoftのヘルパーアプリのように装わせたマイニングマルウェアだたことが確認されたそうです。詳細は以下から。
今月中旬頃、AppleのSupport CommunitiesやRedditで「mshelper」というプロセスにMacのCPUが100%以上利用されているという報告が相次ぎ、感染したユーザーのレポートからマイニングマルウェアである可能性が指摘されていましたが、米MalwarebytesのThomas Reedさんによると、このプロセスはオープンソースのマイニングツールをMicrosoftのhelperアプリであるように装わせたマイニングマルウェアだったことが確認されたそうです。
New Mac cryptominer is using a copy of XMRig, renamed to make it appear to be a Microsoft helper, to mine Monero.#cryptomining #macoshttps://t.co/GVoJnCQEe0
— Thomas Reed (@thomasareed) 2018年5月22日
A new Mac cryptominer was discovered this week, after affected users saw their fans whirring out of control and a process named “mshelper” gobbling up CPU time like Cookie Monster. Fortunately, this malware is not very sophisticated and is easy to remove.
New Mac cryptominer uses XMRig – Malwarebytes Labs
Thomasさんによると、このマルウェアの感染源は不明なものの「mshelper」マルウェア自体は仮想通貨Monero(モネロ)をマイニングするためのオープンソースのマイニングツール「XMRig」をコピーし開発されたもので、このmshelperのランチャーにあたるpplauncherはmshelperに(開発した)ユーザーのパラメータなどを渡していたそうです。
Indicators of Compromise
VirusTotalに登録された検体の情報によると、mshelperは05月13日には登録されており。すでにSymantecやTrendMicro、Avast、BitDefenderなど複数のウィルスエンジンが検出に対応しており、
- pplauncher – VirusTotal
/Library/LaunchDaemons/com.pplauncher.plist /Library/Application Support/pplauncher/pplauncher
/tmp/mshelper/mshelper
Malwarebytes for Mac(関連記事)でも「OSX.ppminer」として検出&削除が可能になっているそうなので、気になる方はスキャンしてみてください。
- New Mac cryptominer uses XMRig – Malwarebytes Labs
- xmrig/xmrig: Monero (XMR) CPU miner – GitHub
コメント
どうせMSが裏で手を引いてるんだろ
winが売れなくてMacが妬ましいんだろうね
いやさすがにそれはないでしょ
appleはmsから投資して貰ってるのだが。