XMRig Virus (Mac)
Escrito por Tomas Meskauskas el
¿Qué es XMRig?
XMRig es una aplicación legítima de código abierto que permite la utilización de los recursos de la CPU del sistema para extraer criptomonedas. Los ciberdelincuentes suelen hacer un mal uso de estas herramientas para generar ingresos de forma malintencionada. Aquí, analizamos el malware que combina una herramienta de puerta trasera llamada EmPyre con XMRig y permite a los ciberdelincuentes explotar los sistemas infectados para extraer criptomonedas.
Este malware afirma ser Adobe Zii, una herramienta que se utiliza para "desencriptar" el software de Adobe y evitar la activación. Una vez abierto, este malware ejecuta un script de shell diseñado para descargar otro script escrito en el lenguaje de programación Python. La secuencia de comandos de Python se llama "sample.app" en un intento de dar la impresión de que es la herramienta genuina de Adobe Zii.
Una vez ejecutado, "sample.app" realiza una serie de acciones. En primer lugar, comprueba si la aplicación Little Snitch (cortafuegos) está instalada. Si es así, el script se termina por sí mismo y la infección se detiene. Si está presente, Little Snitch bloquearía la conexión del primer script de shell y "sample.app" no se habría descargado en primer lugar.
Por tanto, esta comprobación es algo redundante. A continuación, se inyecta la puerta trasera EmPyre, lo que permite la ejecución de varios comandos de forma remota. Una vez que se abre la puerta trasera, se ejecuta un comando que descarga y ejecuta el minero XMRig, sin embargo, este puede no ser el único problema al que se enfrenta.
Como se mencionó, EmPyre realiza muchas acciones en el sistema infectado. Por lo tanto, los delincuentes pueden infiltrar otros virus en el sistema, poniendo en riesgo sus datos y privacidad.
Como se mencionó anteriormente, XMRig emplea CPU del sistema para extraer criptomonedas. Este es esencialmente un proceso mediante el cual las computadoras resuelven varios problemas matemáticos. Por cada problema resuelto, se otorga una recompensa (una fracción de la moneda Monero). Cuanto más potente es el hardware, más ingresos se generan.
Por lo tanto, el proceso de minería es costoso, ya que el hardware potente es costoso. Para abordar esto, los ciberdelincuentes emplean las computadoras de los usuarios habituales. Una computadora doméstica promedio es una mala elección para la criptominería, ya que el costo de la electricidad es equivalente o superior a los ingresos generados.
Sin embargo, cuando miles de computadoras se conectan de forma gratuita, los ingresos se vuelven altos. La criptominería presenta riesgos y problemas para los usuarios habituales. Puede utilizar hasta el 100% de los recursos de hardware, haciendo que el sistema sea prácticamente inutilizable o provocando que se bloquee (lo que puede provocar una pérdida permanente de datos (debido a documentos no guardados, etc.)).
Además, el hardware completamente cargado genera un calor excesivo. Por lo tanto, en determinadas circunstancias (temperaturas ambiente elevadas, sistemas de refrigeración defectuosos, etc.), el hardware podría sobrecalentarse, lo que provocaría pérdidas económicas importantes. Además, estas acciones se toman sin el consentimiento de los usuarios y los ciberdelincuentes reciben todos los ingresos, mientras que las víctimas no reciben nada a cambio.
Si recientemente ha intentado desencriptar el software de Adobe con la herramienta Adobe Zii y ha notado una reducción significativa en el rendimiento del sistema, debe escanearlo inmediatamente con un paquete antivirus/antispyware de buena reputación y eliminar todas las amenazas detectadas.
También le recomendamos encarecidamente que nunca participe en la piratería de software, ya que no solo es ilegal, sino que también se arriesga a sufrir diversas amenazas. La mayoría de las "herramientas" que supuestamente ayudan a eludir la activación del software son maliciosas y dañinas para el sistema, su uso puede provocar infecciones de alto riesgo y problemas de privacidad graves.
Nombre | Minero de CPU XMRig |
Tipo de Amenaza | Mac malware, Mac virus |
Síntomas | Su Mac se vuelve más lenta de lo normal, ve anuncios emergentes no deseados, es redirigido a sitios web sospechosos. |
Métodos de Distribución | Anuncios emergentes engañosos, instaladores de software libre (agrupación/bundling), instaladores falsos de Flash Player, descargas de archivos torrent. |
Daño | Seguimiento de la navegación en Internet (posibles problemas de privacidad), visualización de anuncios no deseados, redireccionamientos a sitios web sospechosos, pérdida de información privada. |
Eliminación de Malware (Mac) | Para eliminar posibles infecciones de malware, escanee su Mac con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. |
Hay muchos virus que hacen un mal uso de la herramienta XMRig para minar criptomonedas sin el consentimiento de los usuarios. Por ejemplo, KingMiner, Winstar, etc. Los desarrolladores son diferentes y los virus también pueden diferir ligeramente, sin embargo, todos tienen el mismo propósito y causan problemas idénticos. Por lo tanto, debes eliminarlos de inmediato.
¿Cómo se instalaron las aplicaciones potencialmente no deseadas en mi computadora?
Como se mencionó anteriormente, los problemas comienzan con el malware que afirma ser un crack de Adobe Zii. Por lo tanto, los usuarios que intentan la privacidad del software corren el riesgo de contraer esta infección del sistema. El malware disfrazado abre una puerta trasera EmPyre, que se utiliza para infiltrar XMRig en el sistema. El disfraz de virus es un método popular de distribución de malware.
Los ciberdelincuentes a menudo propagan estos virus disfrazados mediante campañas de email no deseado y diversas fuentes de descarga de software no oficiales. Las campañas de spam envían mensajes de email engañosos que animan a los usuarios a abrir archivos adjuntos que se presentan como legítimos. De hecho, una vez abiertos, estos archivos (por ejemplo, documentos de MS Office, archivos PDF y similares) descargan e instalan malware.
Las redes peer-to-peer (P2P) (por ejemplo, torrents, eMule, etc.), sitios web de descarga de software gratuito, sitios de alojamiento de archivos gratuitos y fuentes de descarga de terceros similares se utilizan para presentar programas maliciosos como software legítimo. Esto a menudo engaña a los usuarios para que descarguen e instalen malware. La falta de conocimiento de estas amenazas y el comportamiento descuidado son las principales razones de las infecciones informáticas.
¿Cómo evitar la instalación de aplicaciones potencialmente no deseadas?
La precaución es la clave para la seguridad informática. Por lo tanto, preste atención al navegar por Internet y descargar/instalar software. Piense dos veces antes de abrir archivos adjuntos de email. Los archivos que parecen irrelevantes y los recibidos de direcciones de email sospechosas/irreconocibles nunca deben abrirse.
Además, descargue software de fuentes oficiales únicamente, utilizando enlaces de descarga directa. Los descargadores/instaladores de terceros a menudo incluyen aplicaciones fraudulentas y, por lo tanto, estas herramientas nunca deben usarse.
Tenga instalado y en funcionamiento un paquete antivirus/antispyware de buena reputación: estas herramientas pueden detectar y eliminar el malware antes de que dañe el sistema. Si su computadora ya está infectada con PUAs, recomendamos ejecutar un escaneo con Combo Cleaner para eliminarlas automáticamente.
Herramienta falsa de Adobe Zii que descarga la secuencia de comandos maliciosa de Python:
Ventana emergente solicitando permiso para ejecutar comandos de Shell:
Procesos maliciosos ("xmrig", "ScriptMonitor", "Adobe Zii") en Mac Activity Monitor:
Eliminación automática instantánea de malware para Mac:
La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, y está recomendado para acabar con el malware de Mac. Descárguelo haciendo clic en el siguiente botón:
▼ DESCARGAR Combo Cleaner para Mac
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.
Menú rápido:
- ¿Qué es XMRig?
- PASO 1. Eliminar los archivos y carpetas relacionados con la PUA de OSX.
- PASO 2. Eliminar extensiones falsas de Safari.
- PASO 3. Eliminar add-ons falsos Google Chrome.
- PASO 4. Eliminar plug-ins potencialmente no deseados Mozilla Firefox.
Video que muestra cómo eliminar el adware XMRig usando Combo Cleaner:
Eliminación de aplicaciones potencialmente no deseadas
Eliminar aplicaciones potencialmente no deseadas de su carpeta "Aplicaciones":
Haga clic en el ícono Finder. En la ventana de Finder, seleccione "Aplicaciones". En la carpeta de aplicaciones, busque "MPlayerX", "NicePlayer", u otras aplicaciones sospechosas y arrástrelas a la Papelera. Después de eliminar las aplicaciones potencialmente no deseadas que causan anuncios en línea, escanee su Mac en busca de componentes restantes no deseados.
Elimine los archivos y carpetas vinculados al minero de cpu xmrig:
Haga clic en el icono del Finder: en el menú superior. Seleccione "Ir" y haga clic en "Ir a la carpeta...".
Compruebe si hay archivos generados por adware en la carpeta /Library/LaunchAgents:
En el campo de texto de "Ir a la carpeta...", introduzca: /Library/LaunchAgents
En la carpeta “LaunchAgents”, revise si hay cualquier tipo de archivo sospechoso que se haya instalado recientemente y envíelo a la Papelera. Ejemplos de archivos generados por adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. El software publicitario suele instalar varios archivos siguiendo el mismo patrón.
Revise si hay archivos generados por el adware en la carpeta /Library/Application Support:
En el campo de texto de "Ir a la carpeta...", introduzca: /Library/Application Support
En la carpeta “Application Support”, mire si hay carpetas sospechosas que se hayan añadido recientemente. Por ejemplo, “MplayerX” o “NicePlayer” y, en tal caso, envíe esas carpetas a la Papelera.
Revise si hay archivos vinculados al software publicitario en la carpeta ~/Library/LaunchAgents:
En el campo de texto de "Ir a la carpeta...", introduzca: ~/Library/LaunchAgents
En la carpeta “LaunchAgents”, revise si hay cualquier tipo de archivo sospechoso que se haya instalado recientemente y envíelo a la Papelera. Ejemplos de archivos generados por adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. El software publicitario suele instalar varios archivos siguiendo el mismo patrón.
Compruebe si hay archivos generados por adware en la carpeta /Library/LaunchDaemons:
En el campo de texto de "Ir a la carpeta...", introduzca: /Library/LaunchDaemons
En la carpeta “LaunchDaemons”, mire si se han añadido recientemente archivos sospechosos. Por ejemplo, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., y, en tal caso, envíelos a la Papelera.
Analice su equipo Mac con Combo Cleaner:
Si ha seguido todos los pasos siguiendo el orden correcto, su equipo Mac debería encontrarse libre de infecciones. Para asegurarse de que su sistema no está infectado, analícelo con el antivirus Combo Cleaner. Descárguelo AQUÍ. Tras descargar el archivo, haga doble clic sobre el instalador combocleaner.dmg; en la nueva ventana, arrastre el icono de Combo Cleaner hasta el icono de Aplicaciones. Seguidamente, abra el launchpad y haga clic en el icono de Combo Cleaner. Espere a que Combo Cleaner actualice la base de datos de definiciones de viru y haga clic en el botón "Start Combo Scan".
Combo Cleaner bucará infecciones de software malicioso en su equipo. Si el resultado del análisis antivirus es "no threats found", quiere decir que puede continuar con la guía de desinfección; de lo contrario, se recomineda eliminar las infecciones encontradas antes de continuar.
Tras eliminar los archivos y carpetas generados por el software publicitario, siga eliminando las extensiones dudosas de sus navegadores web.
Eliminar el minero de cpu xmrig de los navegadores web:
Eliminar extensiones maliciosas de Safari:
Eliminar las extensiones vinculadas a minero de cpu xmrig de Safari:
Abra el navegador Safari; desde la barra de menú, seleccione "Safari" y haga clic en "Preferencias...".
En la ventana de preferencias, seleccione "Extensiones" y revise si se han añadido recientemente extensiones sospechosas. Si las encuentra, haga clic en el botón "Desinstalar" junto a ellas. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Safari, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.
- Si sigue teniendo problemas con los redireccionamientos de navegador y anuncios no deseados, restaure Safari.
Eliminar complementos maliciosos de Mozilla Firefox:
Eliminar los complementos vinculados a minero de cpu xmrig de Mozilla Firefox:
Abra su navegador Mozilla Firefox. En la parte superior derecha de la pantalla, haga clic en "Abrir Menú" (tres líneas horizontales). Del menú desplegado, elija "Complementos".
Seleccione la pestaña "Extensiones" y mire si se han añadido recientemente complementos sospechosos. Si las encuentra, haga clic en el botón "Eliminar" junto a ellas. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Mozilla Firefox, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.
- Si sigue teniendo problemas con los redireccionamientos de navegador y anuncios no deseados, restablezca Mozilla Firefox.
Eliminar extensiones maliciosas de Google Chrome:
Eliminar los complementos vinculados a minero de cpu xmrig en Google Chrome:
Abra Google Chrome y haga clic en el botón "menú de Chrome" (tres barras horizontales) ubicado en la parte superior derecha de la pantalla del navegador. Del menú desplegable, seleccione "Más herramientas" y haga clic en "Extensiones".
En la pantalla "Extensiones", mire si se han añadido recientemente complementos sospechosos. Si los encuentra, haga clic en el botón de la papelera junto a ellos. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Google Chrome, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.
- Si sigue teniendo problemas con los redireccionamientos de navegador y anuncios no deseados, restablezca Google Chrome.
▼ Mostrar discusión.