Mac电脑感染新的恶意采矿软件Monero

许多Mac用户在过去几周报告称，一个名为“mshelper”的进程已经耗尽了大量的CPU电力并耗尽了他们的电池。事实证明，这个过程与一个旨在为Monero（XMR）加密货币挖掘的恶意软件相关联。

Malwarebytes的研究人员对mshelper恶意软件进行了分析，尽管他们尚未能够精确确定其分发方式，但他们认为假冒的Flash Player安装程序，恶意文档或盗版软件可能涉及而不是其他一些更复杂的方法。

专家们注意到，启动程序，一个名为pplauncher的文件，由启动守护程序（com.pplauncher.plist）保持活动状态，这表明该删除程序可能具有受感染系统的root权限。该发射器是在Golang开发的，并且相对较大（3.5 Mb）。

“使用Golang引入了大量开销，导致包含超过23,000个函数的二进制文件。Malwarebytes的Thomas Reed 解释说，将它用于看起来很简单的功能可能意味着创建它的人对Mac不太熟悉。

一旦启动程序创建mshelper进程，受感染的设备将代表分发恶意软件的网络犯罪分子开始为Monero加密货币进行挖掘。矿工本身是一个名为XMRig的合法开源挖掘工具。

“这种恶意软件并不是特别危险，除非您的Mac存在风扇损坏或通风孔堵塞等问题，否则可能导致过热。尽管mshelper进程实际上是一个被滥用的合法软件，但它应该与其他恶意软件一起被删除，“Reed说。

根据受害者的报告，反恶意软件产品最初或者根本没有检测到威胁，或者无法完全消除感染 - 恶意软件在重新启动后重新出现。现在，恶意软件的消息已经传播开来，安全公司可能会更新他们的产品以确保彻底清除。

或者，用户可以通过删除这两个文件并重新启动他们的设备来手动删除恶意软件：

这不是最近向Mac用户交付的唯一加密货币矿工。2月份，Malwarebytes报告称，Monero矿工通过MacUpdate 网站提供的恶意应用程序交付。