Mã độc đào tiền Monero xâm nhập nền tảng macOS

 

Một cuộc tấn công cryptojacking trên nền tảng MacOS vừa mới bị phát giác trên diễn đàn của Apple, nhiều người dùng đã vô tình trở thành nạn nhân khi mà thiết bị của họ bị lợi dụng để bí mật đào Monero – đồng tiền điện tử nổi tiếng với sự riêng tư và ẩn danh cao.

Xem thêm:

Theo bài blog mới nhất của Malwarebytes labs, phần mềm này bị phát hiện khi có một người dùng nhận thấy sự xuất hiện của một tập tin mang tên “mshelper” ngốn một lượng lớn khối tải của CPU. Anh ta còn nhấn mạnh rằng phần mềm trên liên tục xuất hiện trong quá trình CPU khởi chạy.

Người dùng này tin rằng Bitdefender có thể giải quyết được mọi chuyện, nhưng không, “mshelper” liên tục cố gắng xóa Bitdefender đi, kể cả khi dùng đến Malwarebytes cũng chả giúp ích gì được.

Một người dùng khác gợi ý sử dụng Etrecheck, phần mềm này ngay lập tức nhận dạng được con virus và người dùng đã gỡ bỏ thành công mshelper.

Đã xác định thành phần phần mềm độc hại

“Dropper” chính là phần mềm đã cấy mã độc vào máy người dùng này. Mã độc trên Mac thường được cài kèm theo các tài liệu “mồi nhử” mà người dùng vô tình mở, được tải từ các website chia sẻ dữ liệu thiếu kiểm duyệt. Tuy nhiên, Malwarebytes Labs cho rằng Dropper chỉ là một phần mềm virus đơn giản.

Các nhà nghiên cứu còn tìm thấy vị trí của một tập tin khởi chạy mang tên “pplauncher”, phần mềm này chạy trên nền một launch deamon. Điều này có nghĩa là Dropper có thể có đặc quyền xâm nhập vào hệ thống.

Tập tin pplauncher được viết bằng ngôn ngữ Golang cho macOS, mục đích của nó là để tiến hành cài đặt và khởi chạy một mã độc đào tiền. Golang đòi hỏi một khối tải không ít để có thể khởi chạy một tập tin nhị phân xử lí cùng lúc 23.000 lệnh. Và việc sử dụng tập tin này cho một nhiệm vụ đơn giản như vậy chứng tỏ kẻ tạo ra nó không thực sự hiểu biết về các thiết bị Mac.

Mã độc nhái máy đào:

Mshelper được thiết kế khá giống với một phiên bản máy đào khá cũ mang tên XMRig, một máy đào có thể được triển khai bằng cách sử dụng Homebrew trên Mac. Phiên bản XMRig mới nhất được xây dựng vào ngày 7 tháng 5 năm 2018 với trình phiên dịch clang 9.0.0.

Còn đối vói mshelper, nó được tạo ra vào ngày 26 tháng 3, cùng với clang 9.0.0.

Malwarebytes Labs kết luận rằng mshelper là một bản sao XMRig cũ được sử dụng để khai thác tiền điện tử vì lợi ích của bọn hacker. Pplauncher cung cấp các dòng lệnh yêu cầu, bao gồm một tham số chỉ định người dùng.

Xem thêm:

Các nhà nghiên cứu nói rằng phần mềm độc hại khai thác không nguy hiểm trừ khi Mac của người dùng đã làm hỏng quạt hoặc lỗ thông hơi bị tắc dẫn đến nóng quá mức. Mshelper là một công cụ không phải là xấu nhưng đang bị ai đó lạm dụng, và việc loại bỏ nó là cần thiết, giống như bao phần mềm độc hại khác. Phần mềm độc hại mới – bây giờ được biết đến với tên OSX.ppminer – tương thích với các phần mềm đào tiền như Creative Update, CpuMeaner và Pwnet cho macOS.

 

Tham gia kênh Telegram của tradecointhucchien.com để theo dõi thông tin mới nhất:

https://t.me/joinchat/FJKVXUKwcshzvKPhhChu9Q

Chia sẻ ngay...
Share on Facebook
Facebook
0Share on Google+
Google+
0Tweet about this on Twitter
Twitter
Email this to someone
email

Bình luận (không có)

Leave a Reply