Mã độc đào tiền Monero xâm nhập nền tảng macOS

207
Mã độc đào tiền Monero xâm nhập nền tảng macOS
Bản quyền bài viết thuộc về Coin68 – Trang tin tức tiền điện tử mỗi ngày.

Một cuộc tấn công cryptojacking trên nền tảng Mac vừa mới bị phát giác trên diễn đàn của Apple, nhiều người dùng đã vô tình trở thành nạn nhân khi mà thiết bị của họ bị lợi dụng để bí mật đào Monero – đồng tiền điện tử nổi tiếng với sự riêng tư và ẩn danh cao.

Theo bài blog mới nhất của Malwarebytes labs, phần mềm này bị phát hiện khi có một người dùng nhận thấy sự xuất hiện của một tập tin mang tên “mshelper” ngốn một lượng lớn khối tải của CPU. Anh ta còn nhấn mạnh rằng phần mềm trên liên tục xuất hiện trong quá trình CPU khởi chạy.

Người dùng này tin rằng Bitdefender có thể giải quyết được mọi chuyện, nhưng không, “mshelper” liên tục cố gắng xóa Bitdefender đi, kể cả khi dùng đến Malwarebytes cũng chả giúp ích gì được.

Một người dùng khác gợi ý sử dụng Etrecheck, phần mềm này ngay lập tức nhận dạng được con virus và người dùng đã gỡ bỏ thành công mshelper.

Đã xác định thành phần phần mềm độc hại

“Dropper” chính là phần mềm đã cấy mã độc vào máy người dùng này. Mã độc trên Mac thường được cài kèm theo các tài liệu “mồi nhử” mà người dùng vô tình mở, được tải từ các website chia sẻ dữ liệu thiếu kiểm duyệt. Tuy nhiên, Malwarebytes Labs cho rằng Dropper chỉ là một phần mềm virus đơn giản.

Các nhà nghiên cứu còn tìm thấy vị trí của một tập tin khởi chạy mang tên “pplauncher”, phần mềm này chạy trên nền một launch deamon. Điều này có nghĩa là Dropper có thể có đặc quyền xâm nhập vào hệ thống.

Tập tin pplauncher được viết bằng ngôn ngữ Golang cho macOS, mục đích của nó là để tiến hành cài đặt và khởi chạy một mã độc đào tiền. Golang đòi hỏi một khối tải không ít để có thể khởi chạy một tập tin nhị phân xử lí cùng lúc 23.000 lệnh. Và việc sử dụng tập tin này cho một nhiệm vụ đơn giản như vậy chứng tỏ kẻ tạo ra nó không thực sự hiểu biết về các thiết bị Mac.

Mã độc nhái máy đào

Mã độc đào tiền Monero xâm nhập nền tảng macOS
Các đợt tấn công mã độc âm thầm chiếm đoạt năng lực xử lí của CPU máy tính để đào các đồng tiền số ẩn danh như Monero

Mshelper được thiết kế khá giống với một phiên bản máy đào khá cũ mang tên XMRig, một máy đào có thể được triển khai bằng cách sử dụng Homebrew trên Mac. Phiên bản XMRig mới nhất được xây dựng vào ngày 7 tháng 5 năm 2018 với trình phiên dịch clang 9.0.0.

Còn đối vói mshelper, nó được tạo ra vào ngày 26 tháng 3, cùng với clang 9.0.0.

Malwarebytes Labs kết luận rằng mshelper là một bản sao XMRig cũ được sử dụng để khai thác tiền điện tử vì lợi ích của bọn hacker. Pplauncher cung cấp các dòng lệnh yêu cầu, bao gồm một tham số chỉ định người dùng.

Các nhà nghiên cứu nói rằng phần mềm độc hại khai thác không nguy hiểm trừ khi Mac của người dùng đã làm hỏng quạt hoặc lỗ thông hơi bị tắc dẫn đến nóng quá mức.

Mshelper là một công cụ không phải là xấu nhưng đang bị ai đó lạm dụng, và việc loại bỏ nó là cần thiết, giống như bao phần mềm độc hại khác.

Phần mềm độc hại mới – bây giờ được biết đến với tên OSX.ppminer – tương thích với các phần mềm đào tiền như Creative Update, CpuMeaner và Pwnet cho macOS.

Theo CryptoCoinsNews


Tham gia kênh Telegram của Coin68

Theo dõi Twitter của Coin68

Like fanpage Facebook của Coin68




Bình luận Facebook