دستیابی هکرها به ارز دیجیتالی بدون اطلاع کاربران
ایسنا|
بسیاری از کاربران مک گزارش دادند که در سیستم آنها پردازهیی به نام mshelper بخش زیادی از CPU را اشغال کرده و به سرعت باتری سیستم را خالی میکند. به نظر میرسد این پردازه برای استخراج ارز دیجیتال مونرو توسط یک بدافزار طراحی شده است.
ارز دیجیتال یا ارز رمزنگاری شده یک واسط مبادلهیی است که از رمزنگاری برای ایمنیبخشی به تراکنشها و کنترل تولید واحدهای جدید استفاده میکند.
پس از موفقیت بیتکوین و افزایش غیرقابل پیشبینی ارزش آن در طول چند سال گذشته، شاهد پیدایش ارزهای دیجتال جدیدتر مثل مونرو و AEON هستیم که برای به دست آوردن هر یک از آنها باید کار محاسباتی آنلاین انجام شود.
با توجه به محدودیتهای موجود برای استخراج ارزهای دیجیتال از اینترنت مثل هزینه برق، هزینه تامین ساختافزارهای قدرتمند و هزینه مدیریت، بسیاری از هکرها با شناخت خلأ موجود، از سیستمهای متصل به اینترنت برای استخراج ارز استفاده میکنند.
برای استخراج ارز دیجیتال از اینترنت لازم است که بخشی از توان محاسباتی رایانه صرف پردازش اطلاعات ورودی از اینترنت شود، بنابران هکرها با شناخت این پتانسیل از رایانههای غیر ایمن متصل به اینترنت برای استخراج رایگان ارز استفاده میکنند.
اما پس از گزارش کاربران مک، محققان در مرکز ضد بدافزار Malwarebytes نرمافزار مخرب mshelper را تجزیه و تحلیل کردند؛ هرچند هنوز نحوه توزیع این بدافزار را شناسایی نکردهاند، اما معتقدند نصبکنندگان فلش پلیر جعلی، اسناد مخرب یا نرمافزارهای جاسوسی علت اصلی آلوده شدن به این نوع از بدافزار است.
محققان اعلام کردند لانچر این بدافزار pplauncher نام داشته و توسط لانچ دایمون com. pplauncher.plist فعال نگه داشته میشود که این موضوع نشان میدهد احتمالا نصبکننده این بدافزار، روی سیستم قربانی به امتیازات ریشه (root) دست یافته است. این لانچر با Golang توسعه داده شده و حجم نسبتا زیادی (3.5 مگابایت) دارد.
توماس رید، محقق مرکز ضد بدافزار Malwarebytes میگوید: استفاده از Golang سربار زیادی را به دنبال داشته که در نتیجه موجب شده تا در یک فایل باینری بیش از ۲۳ هزار تابع وجود داشته باشد. این روش پیادهسازی ساده نشان میدهد که احتمالا توسعهدهنده این بدافزار با ساختار مک آشنا نبوده است.
هنگامی که لانچر پردازه mshelper را ایجاد میکند، بدافزار شروع به استخراج ارز مونرو به نفع مجرمان سایبری توزیعکننده این بدافزار میکند. ابزار استخراجکننده این بدافزار، یک ابزار متنباز و قانونی با نام XMRig است.
این محقق مرکز ضد بدافزار Malwarebytes میگوید: این بدافزار انحصارا خطرناک نیست. مگر اینکه سیستم Mac شما مشکلی نظیر خرابی فن یا گرد و غبار زیاد روی دریچه فن داشته باشد که میتواند به افزایش دمای سیستم منجر شود. اگرچه mshelper در واقع یک بخش قانونی نرمافزاری است اما هنوز هم باید با بقیه نرمافزارهای مخرب حذف شود.
براساس گزارشهای قربانیان این بدافزار، محصولات ضد بدافزار قادر به شناسایی کامل این بدافزار نبوده و نمیتوانند به درستی آلودگی را از حذف کنند و بعد از راهاندازی مجدد، این بدافزار مجددا در سیستم ظاهر میشود. بر اساس اطلاعات سایت پلیس فتا، اکنون که اخبار این بدافزار گسترش یافته است، شرکتهای امنیتی به احتمال زیاد محصولات خود را به روز کردهاند تا این بدافزار را با اطمینان حذف کنند. هرچند کاربران میتوانند بطور دستی دو فایل زیر را از سیستم خود حذف کرده و سیستم را مجددا راهاندازی کنند تا آلودگی این بدافزار برطرف شود:
این تنها بدافزار استخراج ارز دیجیتالی نیست که برای کاربران مک ارسال میشود. در ماه فوریه نیز محققان مرکز ضد بدافزار Malwarebytes یک ابزار استخراج ارز مونرو را گزارش دادند که از طریق نسخههای مخرب برنامههای موجود از طریق وب سایت MacUpdate ارسال شده است.