آلوده شدن سیستم‌های مک با بدافزار جدید استخراج ارز دیجیتال مونرو

 

در چند روز گذشته کاربران مک گزارش کردند که در سیستم آن‌ها پردازه‌ای با نام mshelper بخش زیادی از پردازنده را اشغال کرده و به سرعت باتری سیستم را خالی می‌کند. گفته می‌شود این پردازه متعلق به بدافزاری برای استخراج ارز دیجیتال مونرو است.  هرچند هنوز محققان نحوه‌ی توزیع این بدافزار را شناسایی نکرده‌اند ولی گفته می‌شود علت اصلی آلوده شدن به این بدافزار، نصب‌کننده‌های جعلی فلش‌پلیر، اسناد مخرب و برنامه‌های دزدی است.


محققان اعلام کردند لانچر این بدافزار pplauncher نام داشته و توسط دائمون لانچ com.pplauncher.plist فعال نگه داشته می‌شود و این موضوع به ذهن متبادر می‌شود که نصب‌کننده‌ی این بدافزار، بر روی سیستم قربانی به امتیازات ریشه دست یافته است. لانچر با Golang توسعه داده شده و حجم آن نیز نسبتا زیاد است. 


محققان اعلام کردند استفاده از Golang سرباز زیادی را به دنبال داشته و موجب شده تا در فایل باینری بیش از ۲۳ هزار تابع وجود داشته باشد. این مسأله نشان می‌دهد که توسعه‌دهنده‌ی این بدافزار با ساختار مک آشنا نبوده است. زمانی‌که لانچر پردازه‌ی mshelper را ایجاد می‌کند، بدافزار در پس‌زمینه به استخراج ارز مونرو می پردازد. ابزار استخراج‌کننده، یک ابزار متن‌باز و قانونی با نام XMRig است.


براساس گزارش‌های قربانیان این بدافزار، ابزارهای ضدبدافزار قادر به شناسایی این بدافزار نبوده و نمی‌توانند به درستی آلودگی را از بین ببرند و بعد از راه‌اندازی مجدد، آلودگی به این بدافزار مجددا تکرار می‌شود. هرچند محققان می‌توانند به‌طور دستی دو فایل زیر را از سیستم خود حذف کرده و در ادامه سیستم خود را راه‌اندازی کنند تا آلودگی به این بدافزار برطرف شود:


/Library/LaunchDaemons/com.pplauncher.plist
/Library/Application Support/pplauncher/pplauncher

 

منبع

پست‌های مشابه

Leave a Comment