ion

بدافزاری که ارز دیجیتالی «مونرو» استخراج می کند

دانش و فناوری /
شناسه خبر: 371191

محققان یک مرکز در زمینه ضدبدافزار اعلام کردند علت اینکه در سیستم «مک» به سرعت باتری سیستم را خالی می‌کند، وجود یک پردازنده آلوده به بدافزار mshelper است که بخش زیادی از CPU را اشغال کرده و ارز دیجیتالی «مونرو» استخراج می کند.

ایران آنلاین /محققان در مرکز ضد بدافزار Malwarebytes نرم‌افزار مخرب mshelper را تجزیه و تحلیل کردند، معتقدند نصب‌کنندگان فلش پلیر جعلی، اسناد مخرب یا نرم‌افزارهای جاسوسی علت اصلی آلوده شدن به این نوع از بدافزار است.

هرچند محققان هنوز نحوه‌ توزیع این بدافزار را شناسایی نکرده‌اند، اما اعلام کردند لانچر این بدافزار pplauncher نام داشته و توسط لانچ دائمون com.pplauncher.plist فعال نگه داشته می‌شود که این موضوع نشان می‌دهد احتمالا نصب‌کننده‌ این بدافزار، برروی سیستم قربانی به امتیازات ریشه (root) دست یافته است. این لانچر با Golang توسعه داده شده و حجم نسبتا زیادی(3.5 مگابایت) دارد.

توماس رید، محقق مرکز ضد بدافزار Malwarebytes می‌گوید: استفاده از Golang سربار زیادی را به دنبال داشته که در نتیجه موجب شده تا در یک فایل باینری بیش از ۲۳ هزار تابع وجود داشته باشد. این روش پیاده‌سازی ساده، نشان می‌دهد که احتمالا توسعه‌دهنده‌ این بدافزار با ساختار مک آشنا نبوده است.

هنگامی که لانچر پردازه‌ mshelper را ایجاد می‌کند، بدافزار شروع به استخراج ارز «مونرو» به نفع مجرمان سایبری توزیع کننده این بدافزار می‌کند. ابزار استخراج‌کننده این بدافزار، یک ابزار متن‌باز و قانونی با نام XMRig است.

این محقق مرکز ضد بدافزار Malwarebytes می‌گوید: این بدافزار انحصارا خطرناک نیست. مگر اینکه سیستم Mac مشکلی نظیر خرابی فن یا گرد و غبار زیاد برروی دریچه فن داشته باشد که می‌تواند به افزایش دمای سیستم منجر شود. اگرچه mshelper درواقع یک بخش قانونی نرم‌افزاری است اما باید مانند بقیه نرم‌افزارهای مخرب حذف شود.

براساس گزارش‌های قربانیان این بدافزار، محصولات ضدبدافزار قادر به شناسایی کامل این بدافزار نبوده و نمی‌توانند به درستی آلودگی را از حذف کنند و بعد از راه‌اندازی مجدد، این بدافزار مجددا در سیستم ظاهر می‌شود. اکنون که اخبار این بدافزار گسترش یافته است، شرکت‌های امنیتی به احتمال زیاد محصولات خود را به روزرسانی کرده‌اند تا این بدافزار را با اطمینان حذف کنند.  هرچند کاربران می‌توانند به‌طور دستی دو فایل زیر را از سیستم خود حذف کرده و سیستم را مجددا راه‌اندازی کنند تا آلودگی این بدافزار برطرف شود:

/Library/LaunchDaemons/com.pplauncher.plist

/Library/Application Support/pplauncher/pplauncher

 

نظرات

دیدگاه های ارسال شده توسط شما، پس از تایید در سایت منتشر خواهد شد.

پیام هایی که حاوی تهمت یا افترا باشد در سایت منتشر نخواهد شد.

پیام هایی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.