Một cuộc tấn công tiền điện tử trên Mac mới đã được báo cáo trong tuần qua trên các diễn đàn của Apple, buộc người dùng vô tình chạy phần mềm khai thác Monero.
Theo một bài đăng trên blog của Malwarebytes Labs, phần mềm được phát hiện khi người dùng nhận thấy rằng một quá trình được gọi là “mshelper” đã tiêu tốn lượng CPU đáng ngờ. Người dùng nói rằng mshelper liên tục xuất hiện trong phần CPU của Activity Monitor ở mức cao. Họ nhận thấy điều này sau khi cài đặt BitDefender, liên tục thông báo rằng mshelper đã xóa nó. Người dùng này đã thử sử dụng Malwarebytes, điều này tỏ ra không hữu ích.
Một người đọc đã đề xuất chạy Etrecheck, ngay lập tức xác định phần mềm độc hại và cho phép nạn nhân xóa nó.
Đã xác định thành phần phần mềm độc hại
Malwarebytes Labs cho biết đã có các quá trình đáng ngờ khác được cài đặt, mà nó có thể tìm thấy các bản sao tệp.
“Dropper” là chương trình cài đặt phần mềm độc hại. Phần mềm độc hại trên Mac thường được cài đặt bởi decoy do người dùng nhầm lẫn mở, tải xuống từ các trang web nguy hiểm, và giả mạo trình cài đặt Adobe Flash Player.
Các nhà nghiên cứu tìm thấy vị trí của một tập tin khởi chạy được gọi là “pplauncher“, được duy trì bởi một daemon khởi động. Điều này có nghĩa là dropper có thể có đặc quyền root.
Tệp pplauncher được viết bằng Golang cho macOS, mục đích của nó là cài đặt và bắt đầu quá trình khai thác. Golang yêu cầu một số tiền nhất định để tạo ra một tập tin nhị phân của hơn 23.000 nhiệm vụ. Để sử dụng điều này cho một mục đích đơn giản cho thấy người sáng tạo không hiểu biết nhiều về các thiết bị Mac.
Quá trình mshelper cho sự xuất hiện của một phiên bản cũ hơn của trình khai thác XMRig, một thợ mỏ hợp pháp có thể được triển khai bằng Homebrew trên Mac. Thông tin từ XMRig hiện tại cho biết nó được xây dựng vào ngày 7 tháng 5 năm 2018 với clang 9.0.0.
Khi cùng một thông tin được tìm kiếm từ quá trình mshelper, cho thấy nó được phát triển vào ngày 26 tháng 3 năm 2018, cũng với clang 9.0.0.
Malwarebytes Labs kết luận rằng mshelper là một bản sao XMRig cũ hơn được sử dụng để tạo ra tiền điện tử vì lợi ích của hacker. Pplauncher cung cấp các dòng lệnh, bao gồm một tham số chỉ định người dùng.
Các nhà nghiên cứu nói rằng phần mềm khai thác độc hại không nguy hiểm trừ khi máy Mac của người dùng đã hỏng quạt hoặc lỗ thông hơi bị tắc có thể dẫn đến quá nóng.
Mshelper là một công cụ hợp pháp mà ai đó đang lạm dụng, nhưng nó vẫn cần được loại bỏ, cũng như tất cả phần mềm độc hại.
Phần mềm độc hại mới – bây giờ được biết đến với tên OSX.ppminer – tương thích với các phần mềm mã hóa như Creative Update, CpuMeaner và Pwnet cho macOS.
Nguồn CCN
Theo dõi chúng tôi trên Facebook
Miễn trừ trách nhiệm: Tất cả nội dung trên website này đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Bạn đọc nên tự tiến hành nghiên cứu trước khi đưa ra quyết định đầu tư. Chúng tôi không chịu trách nhiệm, trực tiếp hoặc gián tiếp, đối với bất kỳ thiệt hại hoặc mất mát nào phát sinh liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung nào bạn đọc trên website này.
