Một cuộc tấn công cryptojacking trên nền tảng Mac vừa mới bị phát giác trên diễn đàn của Apple, nhiều người dùng đã vô tình trở thành nạn nhân khi mà thiết bị của họ bị lợi dụng để bí mật đào Monero – đồng tiền điện tử nổi tiếng với sự riêng tư và ẩn danh cao.
Theo bài blog mới nhất của Malwarebytes labs, phần mềm này bị phát hiện khi có một người dùng nhận thấy sự xuất hiện của một tập tin mang tên “mshelper” ngốn một lượng lớn khối tải của CPU. Anh ta còn nhấn mạnh rằng phần mềm trên liên tục xuất hiện trong quá trình CPU khởi chạy.
Người dùng này tin rằng Bitdefender có thể giải quyết được mọi chuyện, nhưng không, “mshelper” liên tục cố gắng xóa Bitdefender đi, kể cả khi dùng đến Malwarebytes cũng chả giúp ích gì được.
Một người dùng khác gợi ý sử dụng Etrecheck, phần mềm này ngay lập tức nhận dạng được con virus và người dùng đã gỡ bỏ thành công mshelper.
Đã xác định thành phần phần mềm độc hại
“Dropper” chính là phần mềm đã cấy mã độc vào máy người dùng này. Mã độc trên Mac thường được cài kèm theo các tài liệu “mồi nhử” mà người dùng vô tình mở, được tải từ các website chia sẻ dữ liệu thiếu kiểm duyệt. Tuy nhiên, Malwarebytes Labs cho rằng Dropper chỉ là một phần mềm virus đơn giản.
Các nhà nghiên cứu còn tìm thấy vị trí của một tập tin khởi chạy mang tên “pplauncher”, phần mềm này chạy trên nền một launch deamon. Điều này có nghĩa là Dropper có thể có đặc quyền xâm nhập vào hệ thống.
Tập tin pplauncher được viết bằng ngôn ngữ Golang cho macOS, mục đích của nó là để tiến hành cài đặt và khởi chạy một mã độc đào tiền. Golang đòi hỏi một khối tải không ít để có thể khởi chạy một tập tin nhị phân xử lí cùng lúc 23.000 lệnh. Và việc sử dụng tập tin này cho một nhiệm vụ đơn giản như vậy chứng tỏ kẻ tạo ra nó không thực sự hiểu biết về các thiết bị Mac.
Mã độc nhái máy đào
Mshelper được thiết kế khá giống với một phiên bản máy đào khá cũ mang tên XMRig, một máy đào có thể được triển khai bằng cách sử dụng Homebrew trên Mac. Phiên bản XMRig mới nhất được xây dựng vào ngày 7 tháng 5 năm 2018 với trình phiên dịch clang 9.0.0.
Còn đối vói mshelper, nó được tạo ra vào ngày 26 tháng 3, cùng với clang 9.0.0.
Malwarebytes Labs kết luận rằng mshelper là một bản sao XMRig cũ được sử dụng để khai thác tiền điện tử vì lợi ích của bọn hacker. Pplauncher cung cấp các dòng lệnh yêu cầu, bao gồm một tham số chỉ định người dùng.
Các nhà nghiên cứu nói rằng phần mềm độc hại khai thác không nguy hiểm trừ khi Mac của người dùng đã làm hỏng quạt hoặc lỗ thông hơi bị tắc dẫn đến nóng quá mức.
Mshelper là một công cụ không phải là xấu nhưng đang bị ai đó lạm dụng, và việc loại bỏ nó là cần thiết, giống như bao phần mềm độc hại khác.
Phần mềm độc hại mới – bây giờ được biết đến với tên OSX.ppminer – tương thích với các phần mềm đào tiền như Creative Update, CpuMeaner và Pwnet cho macOS.
Theo CryptoCoinsNews
Monero (XMR) là một hệ thống tiền tệ bảo mật, riêng tư và không thể truy vết. XMR sử dụng một thuật toán crypto đặc biệt giúp các giao dịch mua bán XMR đảm bảo 100% không thể liên kết và truy dấu được. Trong một thế giới ngày càng trở nên minh bạch, đặc điểm của đồng Monero chính là lý do khiến đồng tiền điện tử này trở nên hấp dẫn với nhà đầu tư.
