بدافزار جدید ارز دیجیتالی را آلوده کرد
بسیاری از کاربران مک گزارش دادند که در سیستم آنها پردازهای به نام mshelper بخش زیادی از CPU را اشغال کرده و به سرعت باتری سیستم را خالی میکند. به نظر میرسد این پردازه برای استخراج ارز دیجیتال مونرو توسط یک بدافزار طراحی شده است.
ارز دیجیتال یا ارز رمزنگاری شده یک واسط مبادلهای است که از رمزنگاری برای ایمنیبخشی به تراکنشها و کنترل تولید واحدهای جدید استفاده میکند.
پس از موفقیت بیتکوین و افزایش غیرقابل پیشبینی ارزش آن در طول چند سال گذشته، شاهد پیدایش ارزهای دیجتیال جدیدتر مثل مونرو و AEON هستیم که برای بدست آوردن هر یک از آنها باید کار محاسباتی آنلاین انجام شود.
با توجه به محدودیتهای موجود برای استخراج ارزهای دیجتیال از اینترنت مثل هزینه برق، هزینه تامین ساختافزارهای قدرتمند و هزینه مدیریت، بسیاری از هکرها با شناخت خلاء موجود، از سیستمهای متصل به اینترنت برای استخراج ارز استفاده میکنند.
برای استخراج ارز دیجیتال از اینترنت لازم است که بخشی از توان محاسباتی رایانه صرف پردازش اطلاعات ورودی از اینترنت شود، بنابران هکرها با شناخت این پتانسیل از رایانههای غیر ایمن متصل به اینترنت برای استخراج رایگان ارز استفاده میکنند.
اما پس از گزارش کاربران مک، محققان در مرکز ضد بدافزار Malwarebytes نرمافزار مخرب mshelper را تجزیه و تحلیل کردند؛ هرچند هنوز نحوهی توزیع این بدافزار را شناسایی نکردهاند، اما معتقدند نصبکنندگان فلش پلیر جعلی، اسناد مخرب یا نرمافزارهای جاسوسی علت اصلی آلوده شدن به این نوع از بدافزار است.
محققان اعلام کردند لانچر این بدافزار pplauncher نام داشته و توسط لانچ دائمون com.pplauncher.plist فعال نگه داشته میشود که این موضوع نشان میدهد احتمالا نصبکنندهی این بدافزار، برروی سیستم قربانی به امتیازات ریشه (root) دست یافته است. این لانچر با Golang توسعه داده شده و حجم نسبتا زیادی(3.5 مگابایت) دارد.
توماس رید، محقق مرکز ضد بدافزار Malwarebytes میگوید: استفاده از Golang سربار زیادی را به دنبال داشته که در نتیجه موجب شده تا در یک فایل باینری بیش از ۲۳ هزار تابع وجود داشته باشد. این روش پیادهسازی ساده، نشان میدهد که احتمالا توسعهدهندهی این بدافزار با ساختار مک آشنا نبوده است.
هنگامی که لانچر پردازهی mshelper را ایجاد میکند، بدافزار شروع به استخراج ارز مونرو به نفع مجرمان سایبری توزیع کننده این بدافزار میکند. ابزار استخراجکننده این بدافزار، یک ابزار متنباز و قانونی با نام XMRig است.
این محقق مرکز ضد بدافزار Malwarebytes میگوید: این بدافزار انحصارا خطرناک نیست. مگر اینکه سیستم Mac شما مشکلی نظیر خرابی فن یا گرد و غبار زیاد برروی دریچه فن داشته باشد که میتواند به افزایش دمای سیستم منجر شود. اگرچه mshelper درواقع یک بخش قانونی نرمافزاری است اما هنوز هم باید با بقیه نرمافزارهای مخرب حذف شود.
براساس گزارشهای قربانیان این بدافزار، محصولات ضدبدافزار قادر به شناسایی کامل این بدافزار نبوده و نمیتوانند به درستی آلودگی را از حذف کنند و بعد از راهاندازی مجدد، این بدافزار مجددا در سیستم ظاهر میشود. بر اساس اطلاعات سایت پلیس فتا، اکنون که اخبار این بدافزار گسترش یافته است، شرکتهای امنیتی به احتمال زیاد محصولات خود را به روز کردهاند تا این بدافزار را با اطمینان حذف کنند. هرچند کاربران میتوانند بهطور دستی دو فایل زیر را از سیستم خود حذف کرده و سیستم را مجددا راهاندازی کنند تا آلودگی این بدافزار برطرف شود:
/Library/LaunchDaemons/com.pplauncher.plist
/Library/Application Support/pplauncher/pplauncher
این تنها بدافزار استخراج ارز دیجیتالی نیست که برای کاربران مک ارسال میشود. در ماه فوریه نیز محققان مرکز ضد بدافزار Malwarebytes یک ابزار استخراج ارز مونرو را گزارش دادند که از طریق نسخههای مخرب برنامههای موجود از طریق وب سایت MacUpdate ارسال شده است.