در چند هفته گذشته بسيارى از کاربران مک گزارش دادند که در سیستم آنها پردازهای به نام mshelper بخش زیادی از CPU را اشغال کرده و به سرعت باتری سیستم را خالی میکند. به نظر مىرسد این پردازه برای استخراج ارز دیجیتال مونرو توسط يك بدافزار طراحى شده است.
محققان در مركز ضد بدافزار
Malwarebytes نرم افزار مخرب
mshelper را تجزیه و تحلیل قرار داده و هرچند هنوز نحوهی توزیع این بدافزار را شناسایی نکردهاند، اما آنها معتقدند نصب کنندگان فلش پلیر جعلی، اسناد مخرب یا نرم افزارهای جاسوسی علت اصلى آلوده شدن به اين نوع از بدافزار است.
محققان اعلام کردند لانچر این بدافزار
pplauncher نام داشته و توسط لانچ دائمون
com.pplauncher.plist فعال نگه داشته میشود که اين موضوع نشان مىدهد احتمالا نصبکنندهی این بدافزار، بر روی سیستم قربانی به امتیازات ریشه(
root) دست یافته است. اين لانچر با
Golang توسعه داده شده و حجم نسبتا زيادى(3.5 مگابايت) دارد.
توماس ريد محقق مركز ضد بدافزار
Malwarebytes مىگويد: استفاده از
Golang سربار زیادی را به دنبال داشته كه در نتيجه موجب شده تا در يك فایل باینری بیش از ۲۳ هزار تابع وجود داشته باشد. اين روش پياده سازى ساده، نشان میدهد که احتمالا توسعهدهندهی این بدافزار با ساختار مک آشنا نبوده است.
هنگامى كه لانچر پردازهی
mshelper را ایجاد میکند، بدافزار شروع به استخراج ارز مونرو به نفع مجرمان سايبرى توزيع كننده اين بدافزار مى كند. ابزار استخراجکننده اين بدافزار، یک ابزار متنباز و قانونی با نام
XMRig است.
اين محقق مركز ضد بدافزار
Malwarebytes مىگويد: اين بدافزار انحصارا خطرناك نيست. مگر اينكه سيستم
Mac شما مشكلى نظير خرابى فن يا گرد و غبار زياد برروى دريچه فن داشته باشد كه مى تواند منجر به افزايش دماى سيستم شود. اگرچه
mshelper در واقع يك بخش قانونى نرم افزارى است اما هنوز هم بايد با بقيه نرم افزارهاى مخرب حذف شود.
براساس
گزارشهای قربانیان این بدافزار، محصولات ضدبدافزار قادر به شناسایی كامل این بدافزار نبوده و نمیتوانند به درستی آلودگی را از حذف كنند و بعد از راهاندازی مجدد، این بدافزار مجددا در سيستم ظاهر میشود. اکنون که اخبار اين بدافزار گسترش یافته است، شرکتهای امنیتی به احتمال زیاد محصولات خود را به روز کرده اند تا اين بدافزار را با اطمينان حذف کنند
. هرچند كاربران میتوانند بهطور دستی دو فایل زیر را از سیستم خود حذف کرده و سیستم را مجددا راهاندازی کنند تا آلودگی این بدافزار برطرف شود: