FacebookTwitterLinkedIn

XMRig Virus (Mac)

Conocido también como: Minero de CPU XMRig
Tipo: Malware específico de Mac
Nivel de peligrosidad: Extremo

Tomas Meskauskas Escrito por el

¿Qué es XMRig?

XMRig es una aplicación legítima de código abierto que permite la utilización de los recursos de la CPU del sistema para extraer criptomonedas. Los ciberdelincuentes suelen hacer un mal uso de estas herramientas para generar ingresos de forma malintencionada. Aquí, analizamos el malware que combina una herramienta de puerta trasera llamada EmPyre con XMRig y permite a los ciberdelincuentes explotar los sistemas infectados para extraer criptomonedas.

Script de Python malicioso utilizado para abrir la puerta trasera EmPyre

Este malware afirma ser Adobe Zii, una herramienta que se utiliza para "desencriptar" el software de Adobe y evitar la activación. Una vez abierto, este malware ejecuta un script de shell diseñado para descargar otro script escrito en el lenguaje de programación Python. La secuencia de comandos de Python se llama "sample.app" en un intento de dar la impresión de que es la herramienta genuina de Adobe Zii.

Una vez ejecutado, "sample.app" realiza una serie de acciones. En primer lugar, comprueba si la aplicación Little Snitch (cortafuegos) está instalada. Si es así, el script se termina por sí mismo y la infección se detiene. Si está presente, Little Snitch bloquearía la conexión del primer script de shell y "sample.app" no se habría descargado en primer lugar.

Por tanto, esta comprobación es algo redundante. A continuación, se inyecta la puerta trasera EmPyre, lo que permite la ejecución de varios comandos de forma remota. Una vez que se abre la puerta trasera, se ejecuta un comando que descarga y ejecuta el minero XMRig, sin embargo, este puede no ser el único problema al que se enfrenta.

Como se mencionó, EmPyre realiza muchas acciones en el sistema infectado. Por lo tanto, los delincuentes pueden infiltrar otros virus en el sistema, poniendo en riesgo sus datos y privacidad.

Como se mencionó anteriormente, XMRig emplea CPU del sistema para extraer criptomonedas. Este es esencialmente un proceso mediante el cual las computadoras resuelven varios problemas matemáticos. Por cada problema resuelto, se otorga una recompensa (una fracción de la moneda Monero). Cuanto más potente es el hardware, más ingresos se generan.

Por lo tanto, el proceso de minería es costoso, ya que el hardware potente es costoso. Para abordar esto, los ciberdelincuentes emplean las computadoras de los usuarios habituales. Una computadora doméstica promedio es una mala elección para la criptominería, ya que el costo de la electricidad es equivalente o superior a los ingresos generados.

Sin embargo, cuando miles de computadoras se conectan de forma gratuita, los ingresos se vuelven altos. La criptominería presenta riesgos y problemas para los usuarios habituales. Puede utilizar hasta el 100% de los recursos de hardware, haciendo que el sistema sea prácticamente inutilizable o provocando que se bloquee (lo que puede provocar una pérdida permanente de datos (debido a documentos no guardados, etc.)).

Además, el hardware completamente cargado genera un calor excesivo. Por lo tanto, en determinadas circunstancias (temperaturas ambiente elevadas, sistemas de refrigeración defectuosos, etc.), el hardware podría sobrecalentarse, lo que provocaría pérdidas económicas importantes. Además, estas acciones se toman sin el consentimiento de los usuarios y los ciberdelincuentes reciben todos los ingresos, mientras que las víctimas no reciben nada a cambio.

Si recientemente ha intentado desencriptar el software de Adobe con la herramienta Adobe Zii y ha notado una reducción significativa en el rendimiento del sistema, debe escanearlo inmediatamente con un paquete antivirus/antispyware de buena reputación y eliminar todas las amenazas detectadas.

También le recomendamos encarecidamente que nunca participe en la piratería de software, ya que no solo es ilegal, sino que también se arriesga a sufrir diversas amenazas. La mayoría de las "herramientas" que supuestamente ayudan a eludir la activación del software son maliciosas y dañinas para el sistema, su uso puede provocar infecciones de alto riesgo y problemas de privacidad graves.

Resumen de la Amenaza:
Nombre Minero de CPU XMRig
Tipo de Amenaza Mac malware, Mac virus
Síntomas Su Mac se vuelve más lenta de lo normal, ve anuncios emergentes no deseados, es redirigido a sitios web sospechosos.
Métodos de Distribución Anuncios emergentes engañosos, instaladores de software libre (agrupación/bundling), instaladores falsos de Flash Player, descargas de archivos torrent.
Daño Seguimiento de la navegación en Internet (posibles problemas de privacidad), visualización de anuncios no deseados, redireccionamientos a sitios web sospechosos, pérdida de información privada.
Eliminación de Malware (Mac)

Para eliminar posibles infecciones de malware, escanee su Mac con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner.
▼ Descargue Combo Cleaner para Mac
El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más.

Hay muchos virus que hacen un mal uso de la herramienta XMRig para minar criptomonedas sin el consentimiento de los usuarios. Por ejemplo, KingMiner, Winstar, etc. Los desarrolladores son diferentes y los virus también pueden diferir ligeramente, sin embargo, todos tienen el mismo propósito y causan problemas idénticos. Por lo tanto, debes eliminarlos de inmediato.

¿Cómo se instalaron las aplicaciones potencialmente no deseadas en mi computadora?

Como se mencionó anteriormente, los problemas comienzan con el malware que afirma ser un crack de Adobe Zii. Por lo tanto, los usuarios que intentan la privacidad del software corren el riesgo de contraer esta infección del sistema. El malware disfrazado abre una puerta trasera EmPyre, que se utiliza para infiltrar XMRig en el sistema. El disfraz de virus es un método popular de distribución de malware.

Los ciberdelincuentes a menudo propagan estos virus disfrazados mediante campañas de email no deseado y diversas fuentes de descarga de software no oficiales. Las campañas de spam envían mensajes de email engañosos que animan a los usuarios a abrir archivos adjuntos que se presentan como legítimos. De hecho, una vez abiertos, estos archivos (por ejemplo, documentos de MS Office, archivos PDF y similares) descargan e instalan malware.

Las redes peer-to-peer (P2P) (por ejemplo, torrents, eMule, etc.), sitios web de descarga de software gratuito, sitios de alojamiento de archivos gratuitos y fuentes de descarga de terceros similares se utilizan para presentar programas maliciosos como software legítimo. Esto a menudo engaña a los usuarios para que descarguen e instalen malware. La falta de conocimiento de estas amenazas y el comportamiento descuidado son las principales razones de las infecciones informáticas.

¿Cómo evitar la instalación de aplicaciones potencialmente no deseadas?

La precaución es la clave para la seguridad informática. Por lo tanto, preste atención al navegar por Internet y descargar/instalar software. Piense dos veces antes de abrir archivos adjuntos de email. Los archivos que parecen irrelevantes y los recibidos de direcciones de email sospechosas/irreconocibles nunca deben abrirse.

Además, descargue software de fuentes oficiales únicamente, utilizando enlaces de descarga directa. Los descargadores/instaladores de terceros a menudo incluyen aplicaciones fraudulentas y, por lo tanto, estas herramientas nunca deben usarse.

Tenga instalado y en funcionamiento un paquete antivirus/antispyware de buena reputación: estas herramientas pueden detectar y eliminar el malware antes de que dañe el sistema. Si su computadora ya está infectada con PUAs, recomendamos ejecutar un escaneo con Combo Cleaner para eliminarlas automáticamente.

Herramienta falsa de Adobe Zii que descarga la secuencia de comandos maliciosa de Python:

Falso Adobe Zii descargando un script de Python

Ventana emergente solicitando permiso para ejecutar comandos de Shell:

Ventana emergente solicitando permiso para ejecutar comandos de Shell

Procesos maliciosos ("xmrig", "ScriptMonitor", "Adobe Zii") en Mac Activity Monitor:

Procesos mineros XMRig en Activity Monitor

Eliminación automática instantánea de malware para Mac: La eliminación manual de amenazas puede ser un proceso largo y complicado que requiere conocimientos informáticos avanzados. Combo Cleaner es una herramienta profesional para eliminar malware de forma automática, y está recomendado para acabar con el malware de Mac. Descárguelo haciendo clic en el siguiente botón:
 ▼ DESCARGAR Combo Cleaner para Mac El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más. Si decide descargar este programa, quiere decir que usted está conforme con nuestra Política de privacidad y Condiciones de uso.

Menú rápido:

Video que muestra cómo eliminar el adware XMRig usando Combo Cleaner:

Eliminación de aplicaciones potencialmente no deseadas

Eliminar aplicaciones potencialmente no deseadas de su carpeta "Aplicaciones":

Eliminación de secuestrador de navegadores Mac de la carpeta aplicaciones

Haga clic en el ícono Finder. En la ventana de Finder, seleccione "Aplicaciones". En la carpeta de aplicaciones, busque "MPlayerX", "NicePlayer", u otras aplicaciones sospechosas y arrástrelas a la Papelera. Después de eliminar las aplicaciones potencialmente no deseadas que causan anuncios en línea, escanee su Mac en busca de componentes restantes no deseados.

Elimine los archivos y carpetas vinculados al minero de cpu xmrig:

comando ir a la carpeta del Finder

Haga clic en el icono del Finder: en el menú superior. Seleccione "Ir" y haga clic en "Ir a la carpeta...".

step1Compruebe si hay archivos generados por adware en la carpeta /Library/LaunchAgents:

cómo eliminar software publicitario desde la carpeta launch agents paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: /Library/LaunchAgents

cómo eliminar software publicitario de la carpeta launch agents paso 2

En la carpeta “LaunchAgents”, revise si hay cualquier tipo de archivo sospechoso que se haya instalado recientemente y envíelo a la Papelera. Ejemplos de archivos generados por adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. El software publicitario suele instalar varios archivos siguiendo el mismo patrón.

step2Revise si hay archivos generados por el adware en la carpeta /Library/Application Support:

cómo eliminar software publicitario de la carpeta application support paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: /Library/Application Support

removing adware from application support folder step 2

En la carpeta “Application Support”, mire si hay carpetas sospechosas que se hayan añadido recientemente. Por ejemplo, “MplayerX” o “NicePlayer” y, en tal caso, envíe esas carpetas a la Papelera.

step3Revise si hay archivos vinculados al software publicitario en la carpeta ~/Library/LaunchAgents:

cómo eliminar software publicitario desde la carpeta ~launch agents paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: ~/Library/LaunchAgents

cómo eliminar software publicitario desde la carpeta ~launch agents paso 2

En la carpeta “LaunchAgents”, revise si hay cualquier tipo de archivo sospechoso que se haya instalado recientemente y envíelo a la Papelera. Ejemplos de archivos generados por adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. El software publicitario suele instalar varios archivos siguiendo el mismo patrón.

step4Compruebe si hay archivos generados por adware en la carpeta /Library/LaunchDaemons:

cómo eliminar software publicitario de la carpeta launch daemons paso 1

En el campo de texto de "Ir a la carpeta...", introduzca: /Library/LaunchDaemons

cómo eliminar software publicitario de la carpeta launch daemons paso 2

En la carpeta “LaunchDaemons”, mire si se han añadido recientemente archivos sospechosos. Por ejemplo, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., y, en tal caso, envíelos a la Papelera.

step 5 Analice su equipo Mac con Combo Cleaner:

Si ha seguido todos los pasos siguiendo el orden correcto, su equipo Mac debería encontrarse libre de infecciones. Para asegurarse de que su sistema no está infectado, analícelo con el antivirus Combo Cleaner. Descárguelo AQUÍ. Tras descargar el archivo, haga doble clic sobre el instalador combocleaner.dmg; en la nueva ventana, arrastre el icono de Combo Cleaner hasta el icono de Aplicaciones. Seguidamente, abra el launchpad y haga clic en el icono de Combo Cleaner. Espere a que Combo Cleaner actualice la base de datos de definiciones de viru y haga clic en el botón "Start Combo Scan".

scan-with-combo-cleaner-1

Combo Cleaner bucará infecciones de software malicioso en su equipo. Si el resultado del análisis antivirus es "no threats found", quiere decir que puede continuar con la guía de desinfección; de lo contrario, se recomineda eliminar las infecciones encontradas antes de continuar.

scan-with-combo-cleaner-2

Tras eliminar los archivos y carpetas generados por el software publicitario, siga eliminando las extensiones dudosas de sus navegadores web.

Eliminar el minero de cpu xmrig de los navegadores web:

safari browser iconEliminar extensiones maliciosas de Safari:

Eliminar las extensiones vinculadas a minero de cpu xmrig de Safari:

preferencias de navegación en Safari

Abra el navegador Safari; desde la barra de menú, seleccione "Safari" y haga clic en "Preferencias...".

pantalla de extensiones en safari

En la ventana de preferencias, seleccione "Extensiones" y revise si se han añadido recientemente extensiones sospechosas. Si las encuentra, haga clic en el botón "Desinstalar" junto a ellas. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Safari, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.

  • Si sigue teniendo problemas con los redireccionamientos de navegador y anuncios no deseados, restaure Safari.

firefox browser iconEliminar complementos maliciosos de Mozilla Firefox:

Eliminar los complementos vinculados a minero de cpu xmrig de Mozilla Firefox:

cómo acceder a los complementos de mozilla firefox

Abra su navegador Mozilla Firefox. En la parte superior derecha de la pantalla, haga clic en "Abrir Menú" (tres líneas horizontales). Del menú desplegado, elija "Complementos".

Eliminar complementos malintencionados de Mozilla Firefox

Seleccione la pestaña "Extensiones" y mire si se han añadido recientemente complementos sospechosos. Si las encuentra, haga clic en el botón "Eliminar" junto a ellas. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Mozilla Firefox, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.

chrome-browser-iconEliminar extensiones maliciosas de Google Chrome:

Eliminar los complementos vinculados a minero de cpu xmrig en Google Chrome:

Eliminando extensiones maliciosas de Google Chrome paso 1

Abra Google Chrome y haga clic en el botón "menú de Chrome" (tres barras horizontales) ubicado en la parte superior derecha de la pantalla del navegador. Del menú desplegable, seleccione "Más herramientas" y haga clic en "Extensiones".

Eliminando extensiones maliciosas de Google Chrome paso 2

En la pantalla "Extensiones", mire si se han añadido recientemente complementos sospechosos. Si los encuentra, haga clic en el botón de la papelera junto a ellos. Tenga en cuenta que puede desinstalar de forma segura todas las extensiones de su navegador Google Chrome, ya que ninguna de ellas es imprescindible para el normal funcionamiento del navegador.

▼ Mostrar discusión.

Acerca del autor:

Tomas Meskauskas

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet. Leer más sobre el autor.

El portal de seguridad PCrisk ha sido creado conjuntamente por varios investigadores de seguridad con el propósito de formar e informar a los usuarios sobre las últimas amenazas detectadas en internet. Podrá leer más información sobre los autores e investigadores que trabajan en PCrisk en nuestra página de Contacto.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Sobre nosotros

PCrisk es un portal de ciberseguridad que informa a los usuarios de Internet sobre las últimas amenazas digitales. Nuestro contenido es proporcionado por expertos en seguridad e investigadores profesionales de malware. Lea más sobre nosotros.

Guías de desinfección en otros idiomas
Nuevas guías para la eliminación de virus
Top de guías para la eliminación de virus
Código QR
Minero de CPU XMRig Código QR
Escanee este código QR para acceder fácilmente a la guía de desinfección de Minero de CPU XMRig desde su dispositivo móvil.
Nuestra recomendación:

Acabe con las infecciones de malware para Mac hoy mismo:

▼ ELIMÍNELO AHORA
Descargue Combo Cleaner para Mac

Plataforma: macOS

Valoración de Combo Cleaner por parte del editor:
Valoración¡Excelente!

[Volver al principio]

El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. Prueba gratuita limitada de tres días disponible. Combo Cleaner es propiedad y está operado por Rcs Lt, la empresa matriz de PCRisk. Leer más.