Trên diễn đàn công nghệ Apple đang đăng tải tin tức về việc có một cuộc tấn công Cryptojacking trên hệ điều hành macOS, nhiều người dùng đã vô tình trở thành nạn nhân khi mà thiết bị của họ bị lợi dụng để bí mật đào Monero.Theo bài blog mới nhất của Malwarebytes labs, phần mềm này bị phát hiện khi có một người dùng nhận thấy sự xuất hiện của một tập tin mang tên “mshelper” ngốn một lượng lớn khối tải của CPU. Anh ta còn nhấn mạnh rằng phần mềm trên liên tục xuất hiện trong quá trình CPU khởi chạy.
Người dùng này tin rằng Bitdefender có thể giải quyết được mọi chuyện, nhưng không, “mshelper” liên tục cố gắng xóa Bitdefender đi, kể cả khi dùng đến Malwarebytes cũng chả giúp ích gì được.
Một người dùng khác gợi ý sử dụng Etrecheck, phần mềm này ngay lập tức nhận dạng được con virus và người dùng đã gỡ bỏ thành công mshelper.
Đã xác định thành phần phần mềm độc hại
“Dropper” chính là phần mềm đã cấy mã độc vào máy người dùng này. Mã độc trên Mac thường được cài kèm theo các tài liệu “mồi nhử” mà người dùng vô tình mở, được tải từ các website chia sẻ dữ liệu thiếu kiểm duyệt. Tuy nhiên, Malwarebytes Labs cho rằng Dropper chỉ là một phần mềm virus đơn giản.
Các nhà nghiên cứu còn tìm thấy vị trí của một tập tin khởi chạy mang tên “pplauncher”, phần mềm này chạy trên nền một launch deamon. Điều này có nghĩa là Dropper có thể có đặc quyền xâm nhập vào hệ thống.
Tập tin pplauncher được viết bằng ngôn ngữ Golang cho macOS, mục đích của nó là để tiến hành cài đặt và khởi chạy một mã độc đào tiền. Golang đòi hỏi một khối tải không ít để có thể khởi chạy một tập tin nhị phân xử lí cùng lúc 23.000 lệnh. Và việc sử dụng tập tin này cho một nhiệm vụ đơn giản như vậy chứng tỏ kẻ tạo ra nó không thực sự hiểu biết về các thiết bị Mac.
Mã độc nhái máy đàoCác đợt tấn công mã độc âm thầm chiếm đoạt năng lực xử lí của CPU máy tính để đào các đồng tiền số ẩn danh như Monero.
Mshelper được thiết kế khá giống với một phiên bản máy đào khá cũ mang tên XMRig, một máy đào có thể được triển khai bằng cách sử dụng Homebrew trên Mac. Phiên bản XMRig mới nhất được xây dựng vào ngày 7 tháng 5 năm 2018 với trình phiên dịch clang 9.0.0.
Còn đối vói mshelper, nó được tạo ra vào ngày 26 tháng 3, cùng với clang 9.0.0.
Malwarebytes Labs kết luận rằng mshelper là một bản sao XMRig cũ được sử dụng để khai thác tiền điện tử vì lợi ích của bọn hacker. Pplauncher cung cấp các dòng lệnh yêu cầu, bao gồm một tham số chỉ định người dùng.
Các nhà nghiên cứu nói rằng phần mềm độc hại khai thác không nguy hiểm trừ khi Mac của người dùng đã làm hỏng quạt hoặc lỗ thông hơi bị tắc dẫn đến nóng quá mức.
Mshelper là một công cụ không phải là xấu nhưng đang bị ai đó lạm dụng, và việc loại bỏ nó là cần thiết, giống như bao phần mềm độc hại khác.
Phần mềm độc hại mới – bây giờ được biết đến với tên OSX.ppminer – tương thích với các phần mềm đào tiền như Creative Update, CpuMeaner và Pwnet cho macOS.
Nguon: blogtienao.com
Latest news: 
. 
. 
. 
. 
. 
. 
Shop
Topic: Mã độc đào tiền Monero xâm nhập nền tảng macOS (Read 1192 times)