NERV Security Blog

新しい仮想通貨マイニングツール XMRig

  • 2018年10月16日

先日、新しいMacの暗号通貨マイニングが発見されました。「mshelper」というプロセスがCPUを大量に使用する現象が発生します。幸いにも、このマルウェアはあまり高度な技術を搭載していないので、簡単に削除することができます。

このマルウェアは、アップルのディスカッションフォーラムで一般に公開され、「mshelper」プロセスが原因であることが判明しました。そして、さらに深く調査すると、他にも複数の不審なプロセスがインストールされていることが確認され、これらのファイルのコピーも発見されました。

このマルウェアは、Monero(モネロ)暗号通貨を採掘するためのマルウェアです。 概要は下記の通りとなります。

The dropper ドロッパー

「ドロッパー」は、セキュリティ研究者がマルウェアをインストールするプログラムの名称です。多くの場合、Macマルウェアは、偽のAdobe Flash Playerインストーラー、海賊行為サイトからのダウンロード、デコイ文章・データが開かれたことにより、インストールされます。

この場合のドロッパーは詳しく解析できていないが、他ドロッパーはシンプルなつくりであるケースが多いため、高機能の可能性は低いです。

The launcher -ランチャー-

Pplauncherというファイルは下記の場所へインストールされます。

このファイルは、起動デーモン(com.pplauncher.plist)により継続的に起動され、ドロッパーがルート権限を持っていなければならないことを意味しています。*デーモンとは、UNIX, Linux, MacOSXなどUnix系のマルチタスクオペレーティングシステム (OS) において動作するプロセス(プログラム)で、主にバックグラウンドで動作するプロセスです。

pplauncherは、Golangで書かれ、macOS用にコンパイルされた比較的大きな実行可能ファイル(3.5 MB)です。このプロセスは、シンプルなプロセスのインストールとマイニング(採掘)プロセスを起動します。

Golangを使用すると、著しいオーバーヘッドが発生し、23,000以上の機能を含むバイナリファイルが作成されます。このようなシンプルな機能を使用しているという事は、作成者がMacに精通していない可能性があります。

The miner  – マイナー –

マイナーは下記へインストールされるmshelperプロセスです:

このプロセスは、正規のXMRigマイナーの古いバージョンのようですが、これはHomebrew経由でMacへインストールすることができます。

現在のXMRigからバージョン情報を取得すると、次の結果が得られます。

Mshelperプロセスから同じ情報を要求すると、次の結果が得られます。

明らかに、mshelperは、ハッカーが暗号通貨マイニングを実施する目的で使用されている古いタイプのXMRigの複製物です。pplauncherプロセスは、pplauncher実行可能ファイルでstringsコマンドを使用して検出された、ユーザーを指定する次のパラメータなど、必要なコマンドライン引数を提供します。

増えてきているMac向けの仮想通貨マイニングツール

あなたのMacのファンが故障していたり、オーバヒートを起こすような通気孔がない限り、このマルウェアは、特別危険なものではありません。Mshelperプロセスは悪用されるソフトウェアの一部ですが、マルウェアと共に削除されるべきです。

Macの暗号通貨マイニングマルウェアは、Windowsと同様に増加しています。このマルウェアは、Pwnet、CpuMeaner、CreativeUpdateなど、MacOS向けの他の暗号通貨採掘プログラムの後を継いでいます。他のマルウェアに感染するより、暗号通貨採掘マルウェアの方がセキュリティ的な問題とはなりにくいです。

このマルウェアに感染していると思う場合は、Mac用のMalwarebytesによってOSX.ppminerと検知され、削除することが可能です。

 

New Mac cryptominer uses XMRig:より引用

Malwarebytes マルウェアバイト

 

 

取扱製品

Safend Data Protection Suite
Safend Protector
ポート・デバイスの制御を実施し、記憶媒体の暗号化も実施します。 詳しくはこちら
Safend Encryptor
内蔵HDDを暗号化し、盗難・紛失からの情報漏えいを防止します。 詳しくはこちら
Safend Inspector
社内の機密情報をプリンター、メール、FTPなどの経路から流出しないよう制限をかけ、情報流出を防ぎます。 詳しくはこちら
その他
セキュリティポリシーを検討を補佐するオプションもご用意しています。
Safend Auditor-デバイスの監査
Safend Repoter-ログの可視化
Safend Discover-クライアント内のデータ監査
詳しくはこちら
Malwarebytes
Endpoint Security
高度なマルウェアの発見と修正、悪意のあるウェブサイトへブロック 詳しくはこちら
Endpoint Protection
業界最高レベルの情報収集技術を持った次世代マルウェア対策ソフトウェア 詳しくはこちら