تم الإبلاغ عن هجوم جديد لتعدين العملات الرقمية، يستهدف أجهزة ماك الخاصة بشركة أبل، الأسبوع الماضي، عبر منتديات أبل، فهو يجبر المستخدمين من دون قصد على تشغيل برنامج يعمل على تعدين عملة Monero سريًا، بحسب ما نشرت ccn.
وتم اكتشاف البرنامج عندما لاحظ أحد المستخدمين أن عملية تُسمى mshelper استهلكت كميات كبيرة من وقت وحدة معالج البيانات المركزية بشكل مثير للريبة، وفقًا لمقالة على مدونة معامل Malwarebytes.
وقال المستخدم إن mshelper كان يظهر بشكل مستمر على مراقب نشاط وحدة معالجة البيانات المركزية عند مستويات عالية، ولقد لاحظوا ذلك بعد تثبيت برنامج BitDefender، التي تنقلت باستمرار إلا أن تم حذفه، وقد حاول هذا المستخدم استخدام برنامج Malwarebytes، الذي أثبت أنه بلا فائدة.
اقترح أحد القراء تشغيل برنامج Etrecheck، الذي يعمل فوريًا على تحديد البرامج الضارة ويسمح للضحية بإزالتها.
التعرف على مكونات البرامج الضارة
صرحت معامل Malwarebytes بأن هناك عمليات مريبة أخرى تم تثبيتها، تمكنت من العثور على ملفاتها المنسوخة، ويقوم برنامج dropper بتثبيت البرامج الضارة، ويتم تثبيت البرامج الضارة في كثير من الأحيان على أجهزة ماك من قبل المستخدمين عن طريق فتح ملفات decoy بالخطأ، وتحميل البرامج والملفات من مواقع القراصنة/ التورنت، وتثبيتات برنامج Adobe Flash Player الزائفة، ويبقى برنامج dropper بعيدًا عن برامج التعدين الخبيثة، ولكن تعتقد مختبرات Malwarebytes أنه برنامج ضار ليس إلا.
وجد الباحثون موقع لملف الإطلاق، يسمى بـpplauncher، الذي يتم الاحتفاظ به بواسطة برنامج تشغيل daemon، وهذا يعني أن برنامج dropper لديه امتيازات جذرية root privileges، وقد تمت كتابة ملف pplauncher بلغة البرمجة Golang الخاصة ببرمجة أنظمة التشغيل في جهاز ماك.
وكان الغرض منه هو تثبيت البرنامج والبدء في عملية التعدين، ويتطلب Golang مقدارًا معينًا من التحميل، ينتج عنه وجود ملف ثنائي يتضمن أكثر من 23 ألف مهمة، ولاستخدام هذا لغرض بسيط، تبين أن مبتكر البرنامج ليس على دراية كبيرة بأجهزة ماك.
على غرار التعدين الشرعي
تعطي عملية mshelper مظهر إصدار قديم من برنامج التعدين XMRig، وهو معدن شرعي يمكن نشره على أجهزة ماك باستخدام برنامج Homebrew، وتشير المعلومات الواردة من XMRig الحالي إلى أنها بُنيت في 7 مايو/ أيار 2018 مع إصدار برنامج clang 9.0.0.
وعندما تم طلب المعلومات ذاتها من عملية mshelper، تم الإشارة إلى أنها بُنيت في 26 مارس/ آذار 2018، وكذلك مع الإصدار نفسه من برنامج clang 9.0.0.
كما توصلت معامل Malwarebytes إلى أن عملية mshelper هي نسخة قديمة من XMRig، تُستخدم لإنشاء وتعدين العملات الرقمية لصالح المهاجم، كما يوفر ملف pplauncher مجموعة أوامر لجمع البيانات، وتشمل معاملًا لتحديد المستخدم.
وقال الباحثون إن البرمجيات الخبيثة في التعدين ليست خطيرة، طالما لم يضر المستخدم المراوح أو لم يتسبب في سد الفتحات، الأمر الذي يمكن أن يؤدي إلى ارتفاع درجة الحرارة أجهزة الماك.
إن mshelper هو أداة غير شرعية يستخدمها شخص ما للاستغلال، لكنه لا يزال بحاجة إلى إزالتها، بالإضافة إلى إزالة جميع البرامج الضارة.
البرمجيات الخبيثة الجديدة المعروفة الآن باسم OSX.ppminer، تتوافق مع برنامج الفدية الجديد cryptominers مثل Creative Update وCpuMeaner وPwnet لـmacOS.
إخلاء المسؤولية: الآراء والتحليلات والأخبار الواردة لا تعكس رأي بت شين. لا ينبغي اعتبار أي من المعلومات التي تقرأها على موقع بت شين بمثابة نصيحة استثمارية، ولا تصادق بت شين على أي مشروع قد يتم ذكره أو ربطه في هذه المقالة. يجب اعتبار شراء وتداول العملات المشفرة نشاطًا عالي المخاطر. ويرجى بذل المجهود الواجب قبل اتخاذ أي إجراء يتعلق بالمحتوى المذكور ضمن هذا التقرير. لا تتحمل بت شين أي مسؤولية في حالة خسارة الأموال في تداول العملات المشفرة.