در چند روز گذشته کاربران مک گزارش کردند که در سیستم آنها پردازهای با نام mshelper بخش زیادی از پردازنده را اشغال کرده و به سرعت باتری سیستم را خالی میکند. گفته میشود این پردازه متعلق به بدافزاری برای استخراج ارز دیجیتال مونرو است. هرچند هنوز محققان نحوهی توزیع این بدافزار را شناسایی نکردهاند ولی گفته میشود علت اصلی آلوده شدن به این بدافزار، نصبکنندههای جعلی فلشپلیر، اسناد مخرب و برنامههای دزدی است.
محققان اعلام کردند لانچر این بدافزار pplauncher نام داشته و توسط دائمون لانچ com.pplauncher.plist فعال نگه داشته میشود و این موضوع به ذهن متبادر میشود که نصبکنندهی این بدافزار، بر روی سیستم قربانی به امتیازات ریشه دست یافته است. لانچر با Golang توسعه داده شده و حجم آن نیز نسبتا زیاد است.
محققان اعلام کردند استفاده از Golang سرباز زیادی را به دنبال داشته و موجب شده تا در فایل باینری بیش از ۲۳ هزار تابع وجود داشته باشد. این مسأله نشان میدهد که توسعهدهندهی این بدافزار با ساختار مک آشنا نبوده است. زمانیکه لانچر پردازهی mshelper را ایجاد میکند، بدافزار در پسزمینه به استخراج ارز مونرو می پردازد. ابزار استخراجکننده، یک ابزار متنباز و قانونی با نام XMRig است.
براساس گزارشهای قربانیان این بدافزار، ابزارهای ضدبدافزار قادر به شناسایی این بدافزار نبوده و نمیتوانند به درستی آلودگی را از بین ببرند و بعد از راهاندازی مجدد، آلودگی به این بدافزار مجددا تکرار میشود. هرچند محققان میتوانند بهطور دستی دو فایل زیر را از سیستم خود حذف کرده و در ادامه سیستم خود را راهاندازی کنند تا آلودگی به این بدافزار برطرف شود:
/Library/LaunchDaemons/com.pplauncher.plist
/Library/Application Support/pplauncher/pplauncher