蘋果論壇上,資訊安全公司Malwarebytes Labs的研究開發人員指出,一個新型態的惡意挖礦程式針對蘋果電腦Mac設計,迫使用戶在無意中運行著挖礦軟體挖取門羅幣(Monero),並使此惡意木馬程式的編程駭客獲利。
資訊安全公司Malwarebytes Labs的研究開發人員在5/22的一則部落格文章中指出,一個看似無害的Mac程式「mshelper」,卻佔據了大量的CPU算力。
發現此事的用戶們表示,檢查活動監視器的CPU部分,發現「mshelper」不斷以高佔額的狀態出現。
當他們安裝安全軟體BitDefender後,注意到BitDefender不斷回傳mshelper正試圖反刪除它的通知。
而嘗試安裝Malwarebytes後,證明並無法解決此問題。
不過,也有用戶回報,安裝Etrecheck有用,此軟體立即辨識出惡意軟體,並允許用戶直接刪除惡意軟體。
mshelper遭駭客利用
實際上,Mac軟體「mshelper」本身是無害的,但再加上其他惡意程式協作,這在被入侵的電腦上就是完全另一回事了。
當電腦被入侵後,不知名的駭客利用mshelper軟體來挖門羅幣。
資安公司Malwarebytes的Mac and Mobile部門主任Thomas Reed寫道,在其他惡意程式的協作之下,mshelper佔據大量的CPU算力,但並不會危害到Mac本身。
他表示:
被入侵的Mac用戶會發現他們的散熱扇開始瘋狂的運轉,
而CPU受到mshelper佔據,就如同卡比獸遇到食物一般的被啃蝕著。
很幸運的是,mshelper並不複雜且非常容易移除。
同時也說:
此惡意軟體在蘋果電腦的網路論壇當中已廣為人知,
而mshelper已成為眾矢之的。
更深入的研究發現,除了mshelper之外還有其他的令人起疑的程式也被植入了。
組合式攻擊:還有其他可疑程序
Malwarebytes Labs表示,還有其他可疑程序可能在同時也被植入了,這些程序讓惡意軟體能夠找到檔案副本。
Reed表示,此組合式的惡意木馬程式由三個部分所組成:
- the dropper,一個專門下載這些惡意軟體的程式。
- the launcher,會安裝並執行這些惡意軟體。
- the miner,基於XMRig的開源挖礦軟體。
下載是錯誤的開端
基於Mac的「the dropper」,多以誘騙用戶打開檔案、從盜版網站下載、假的更新程式或由假的Adobe Flash Player安裝程序進行。
實際上,單就the dropper而言,它還稱不上惡意挖礦,Malwarebytes Labs也認為它只是一個簡單的惡意軟件。
目前,Malwarebytes仍未發現the dropper實際上是哪個軟體。
剖析負責安裝執行的pplauncer
The dropper會同時下載一個launcher,研究人員發現一個名為「pplauncher」的檔案,做為「啟動守護進程」(launch daemon),這意味著the dropper可能有root權限,也就代表它可能可以對電腦上的所有檔案進行讀、寫、執行等動作。
另一方面,pplauncher會安裝miner,因此駭客可以藉由這三組軟體入侵電腦挖礦。
值得注意的是,pplauncer是以Golang這種程式語言針對macOS編寫,Reed表示:
這是個很罕見的選項。
因為,使用Golang通常隱含了這位開發者不特別熟悉Mac的作業系統的意思。
之所以如此評論是因為,pplauncher的目的只是安裝並執行礦工程序,這個目的是簡單的。
但若使用Golang則需要一定的成本,因此才會出現一個二進製檔案內含超過23,000個任務的情況,這與目的不相應,或許也代表編程者並為深入了解Mac設備的相關知識。
mshelper外觀與合法挖礦軟體相似
最後,Reed評論了miner,也就是被駭客利用的mshelper。
mshelper程序有著舊版本的XMRig開源挖礦軟體的外觀,XMRig開源挖礦軟體是合法的,可以用Mac上的Homebrew進行部署。
若從創建時間來看就會發現差異點,XMRig是在2018年5月7日創建的,而mshelper則是在2018年3月26日創建的。(都是clang 9.0.0.)
Malwarebytes Labs總結道,mshelper是個舊版的XMRig副本,被駭客用於惡意挖礦來獲利。
而pplauncher提供命令行,包含參數來指定用戶。
惡意挖礦軟件並不危險,或許很煩人,但卻不複雜,是可以輕易移除的。
Reed表示:
近來用Mac來挖礦的人有增長的趨勢。
這些惡意挖礦程式,如同在Mac系統上,Windows系統上也有增加的趨勢。
有些惡意程式跟著挖礦程式進入了電腦裡面,
我寧願被惡意挖礦軟體入侵也不想被其他惡意程式入侵。
但這也不會讓惡意挖礦軟體變成是件好事。
目前,mshelper可能導致風扇損壞或堵住通風口導致過熱。
注意其他惡意挖礦軟體!
提醒各位讀者,除了mshelper這款針對macOS的惡意挖礦軟體以外,還有Creative Update、CpuMeaner和Pwnet也是針對macOS。
另外,現已出現新的惡意軟體:OSX.ppminer。
?相關報導?
【動區專題】深入淺出的挖礦與礦機發展總整理
【韓國現代集團|HDAC】現代汽車(Hyundai)相關的「HDAC礦池」遭到駭客攻擊
【獨立觀點】案例分析「去中心化交易平台,能否杜絕駭客攻擊?」
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
