امنیت

تجارت الکترونیک

فناوری اطلاعات

June 13, 2018
15:18 چهارشنبه، 23ام خردادماه 1397
کد خبر: 91497

بدافزار جدید ارز دیجیتالی را آلوده کرد

بسیاری از کاربران مک گزارش دادند که در سیستم آن‌ها پردازه‌ای به نام mshelper بخش زیادی از CPU را اشغال کرده و به سرعت باتری سیستم را خالی می‌کند. به نظر می‌رسد این پردازه برای استخراج ارز دیجیتال مونرو توسط یک بدافزار طراحی شده است.
 
 ارز دیجیتال یا ارز رمزنگاری شده یک واسط مبادله‌ای است که از رمزنگاری برای ایمنی‌بخشی به تراکنش‌ها و کنترل تولید واحدهای جدید استفاده می‌کند.
 
پس از موفقیت بیت‌کوین و افزایش غیرقابل پیش‌بینی ارزش آن در طول چند سال گذشته، شاهد پیدایش ارزهای دیجتیال جدیدتر مثل مونرو و AEON هستیم که برای بدست آوردن هر یک از آن‌ها باید کار محاسباتی آنلاین انجام شود.
 
با توجه به محدودیت‌های موجود برای استخراج ارزهای دیجتیال از اینترنت مثل هزینه برق، هزینه تامین ساخت‌افزارهای قدرتمند و هزینه مدیریت، بسیاری از هکرها با شناخت خلاء موجود، از سیستم‌های متصل به اینترنت برای استخراج ارز استفاده می‌کنند.
 
برای استخراج ارز دیجیتال از اینترنت لازم است که بخشی از توان محاسباتی رایانه صرف پردازش اطلاعات ورودی از اینترنت شود، بنابران هکرها با شناخت این پتانسیل از رایانه‌های غیر ایمن متصل به اینترنت برای استخراج رایگان ارز استفاده می‌کنند.
 
اما  پس از گزارش کاربران مک، محققان در مرکز ضد بدافزار Malwarebytes نرم‌افزار مخرب mshelper را تجزیه و تحلیل کردند؛ هرچند هنوز نحوه‌ی توزیع این بدافزار را شناسایی نکرده‌اند، اما معتقدند نصب‌کنندگان فلش پلیر جعلی، اسناد مخرب یا نرم‌افزارهای جاسوسی علت اصلی آلوده شدن به این نوع از بدافزار است.
 
محققان اعلام کردند لانچر این بدافزار pplauncher نام داشته و توسط لانچ دائمون com.pplauncher.plist فعال نگه داشته می‌شود که این موضوع نشان می‌دهد احتمالا نصب‌کننده‌ی این بدافزار، برروی سیستم قربانی به امتیازات ریشه (root) دست یافته است. این لانچر با Golang توسعه داده شده و حجم نسبتا زیادی(3.5 مگابایت) دارد.
 
توماس رید، محقق مرکز ضد بدافزار Malwarebytes می‌گوید: استفاده از Golang سربار زیادی را به دنبال داشته که در نتیجه موجب شده تا در یک فایل باینری بیش از ۲۳ هزار تابع وجود داشته باشد. این روش پیاده‌سازی ساده، نشان می‌دهد که احتمالا توسعه‌دهنده‌ی این بدافزار با ساختار مک آشنا نبوده است.
 
هنگامی که لانچر پردازه‌ی mshelper را ایجاد می‌کند، بدافزار شروع به استخراج ارز مونرو به نفع مجرمان سایبری توزیع کننده این بدافزار می‌کند. ابزار استخراج‌کننده این بدافزار، یک ابزار متن‌باز و قانونی با نام XMRig است.
 
این محقق مرکز ضد بدافزار Malwarebytes می‌گوید: این بدافزار انحصارا خطرناک نیست. مگر اینکه سیستم Mac شما مشکلی نظیر خرابی فن یا گرد و غبار زیاد برروی دریچه فن داشته باشد که می‌تواند به افزایش دمای سیستم منجر شود. اگرچه mshelper درواقع یک بخش قانونی نرم‌افزاری است اما هنوز هم باید با بقیه نرم‌افزارهای مخرب حذف شود.
 
براساس گزارش‌های قربانیان این بدافزار، محصولات ضدبدافزار قادر به شناسایی کامل این بدافزار نبوده و نمی‌توانند به درستی آلودگی را از حذف کنند و بعد از راه‌اندازی مجدد، این بدافزار مجددا در سیستم ظاهر می‌شود. بر اساس اطلاعات سایت پلیس فتا، اکنون که اخبار این بدافزار گسترش یافته است، شرکت‌های امنیتی به احتمال زیاد محصولات خود را به روز کرده‌اند تا این بدافزار را با اطمینان حذف کنند.  هرچند کاربران می‌توانند به‌طور دستی دو فایل زیر را از سیستم خود حذف کرده و سیستم را مجددا راه‌اندازی کنند تا آلودگی این بدافزار برطرف شود:
 
/Library/LaunchDaemons/com.pplauncher.plist
/Library/Application Support/pplauncher/pplauncher
 
 
این تنها بدافزار استخراج ارز دیجیتالی نیست که برای کاربران مک ارسال می‌شود. در ماه فوریه نیز محققان مرکز ضد بدافزار Malwarebytes یک ابزار استخراج ارز مونرو را گزارش دادند که از طریق نسخه‌های مخرب برنامه‌های موجود از طریق وب سایت MacUpdate ارسال شده است.
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.