چاپ        ارسال به دوست

بدافزار جدید استخراج ارز دیجیتال مونرو سيستم‌هاى مك را آلوده مى‌كند

در چند هفته گذشته بسيارى از کاربران مک گزارش دادند که در سیستم آن‌ها پردازه‌ای به نام mshelper بخش زیادی از CPU را اشغال کرده و به سرعت باتری سیستم را خالی می‌کند. به نظر مى‌رسد این پردازه برای استخراج ارز دیجیتال مونرو توسط يك بدافزار طراحى شده است.  
محققان در مركز ضد بدافزار Malwarebytes نرم افزار مخرب mshelper را تجزیه و تحلیل قرار داده و هرچند هنوز نحوه‌ی توزیع این بدافزار را شناسایی نکرده‌اند، اما آنها معتقدند نصب کنندگان فلش پلیر جعلی، اسناد مخرب یا نرم افزارهای جاسوسی علت اصلى آلوده شدن به اين نوع از بدافزار است.

محققان اعلام کردند لانچر این بدافزار pplauncher نام داشته و توسط لانچ دائمون com.pplauncher.plist فعال نگه داشته می‌شود که اين موضوع نشان مى‌دهد احتمالا نصب‌کننده‌ی این بدافزار، بر روی سیستم قربانی به امتیازات ریشه(root) دست یافته است. اين لانچر با Golang توسعه داده شده و حجم نسبتا زيادى(3.5 مگابايت) دارد.

توماس ريد محقق مركز ضد بدافزار Malwarebytes مى‌گويد: استفاده از Golang سربار زیادی را به دنبال داشته كه در نتيجه موجب شده تا در يك فایل باینری بیش از ۲۳ هزار تابع وجود داشته باشد. اين روش پياده سازى ساده، نشان می‌دهد که احتمالا توسعه‌دهنده‌ی این بدافزار با ساختار مک آشنا نبوده است.



هنگامى كه لانچر پردازه‌ی mshelper را ایجاد می‌کند، بدافزار شروع به استخراج ارز مونرو به نفع مجرمان سايبرى توزيع كننده اين بدافزار مى كند. ابزار استخراج‌کننده اين بدافزار، یک ابزار متن‌باز و قانونی با نام XMRig است.

اين محقق مركز ضد بدافزار Malwarebytes مى‌گويد: اين بدافزار انحصارا خطرناك نيست. مگر اينكه سيستم Mac شما مشكلى نظير خرابى فن يا گرد و غبار زياد برروى دريچه فن داشته باشد كه مى تواند منجر به افزايش دماى سيستم شود. اگرچه mshelper در واقع يك بخش قانونى نرم افزارى است اما هنوز هم بايد با بقيه نرم افزارهاى مخرب حذف شود.

براساس گزارش‌های قربانیان این بدافزار، محصولات ضدبدافزار قادر به شناسایی كامل این بدافزار نبوده و نمی‌توانند به درستی آلودگی را از حذف كنند و بعد از راه‌اندازی مجدد، این بدافزار مجددا در سيستم ظاهر می‌شود. اکنون که اخبار اين بدافزار گسترش یافته است، شرکت‌های امنیتی به احتمال زیاد محصولات خود را به روز کرده اند تا اين بدافزار را با اطمينان حذف کنند.
 
هرچند كاربران می‌توانند به‌طور دستی دو فایل زیر را از سیستم خود حذف کرده و سیستم را مجددا راه‌اندازی کنند تا آلودگی این بدافزار برطرف شود:
 
/Library/LaunchDaemons/com.pplauncher.plist
/Library/Application Support/pplauncher/pplauncher
 
اين تنها بدافزار استخراج ارز ديجيتالى نيست كه براى كاربران مك ارسال مى‌شود. در ماه فوريه نيز محققان مركز ضد بدافزارMalwarebytes يك ابزار استخراج ارز مونرو را گزارش دادند كه از طریق نسخه های مخرب برنامه های موجود از طریق وب سایتMacUpdate ارسال شده است.

مترجم: مهرداد جعفرى

 


١٢:٠٤ - چهارشنبه ٢٣ خرداد ١٣٩٧    /    شماره : ٣١٥٥    /    تعداد نمایش : ٥٥



خروج