Máy tính Mac bị nhiễm mã độc đào tiền ảo Monero mới

0
434
Monero

Nhiều người dùng máy tính Mac được thông báo về một tiến trình tên “mshelpwr” tiêu hao rất nhiều CPU và pin. Tiến trình này có liên quan đến một loại mã độc được thiết kế để đào tiền Monero (XMR).

Các nhà nghiên cứu của Malwarebytes đã phân tích mshelper nhưng chưa thể xác định được cách phát tán. Họ cho rằng các trình cài đặt Flash Player giả mạo, các tài liệu độc hại hoặc các phần mềm lậu có thể có liên quan.

Các chuyên gia nhận thấy một trình khởi chạy có tên pplauncher luôn hoạt động nhờ một deamon (com.pplauncher.plist), có nghĩa là mã độc drooper rất có thể có những đặc quyền root trên hệ thống bị xâm nhập. Trình khởi chạy này được phát triển trong ngôn ngữ lập trình Golang và có dung lượng tương đối lớn (3,5Mb).

Một khi trình khởi chạy tạo ra tiến trình mshelper, thiết bị bị lạm dụng sẽ bắt đầu đào tiền ảo Monero thay cho những kẻ phát tán mã độc. Công cụ đào tiền ảo chính là XMRig – một công cụ mã nguồn mở hợp pháp.

Nhà nghiên cứu Thomas Reed từ Malwarebytes cho biết: “Mã độc này không thực sự nguy hiểm trừ khi máy tính người dùng gặp vấn đề như bị hỏng quạt hay bị nghẽn lỗ thông hơi do bụi khiến máy quá nóng. Dù tiến trình mshelper thực chất là một phần mềm hợp pháp bị lợi dụng, nhưng cũng cần phải gỡ bỏ”.

Theo báo cáo từ các nạn nhân, ban đầu các sản phẩm diệt mã độc hoặc không hề phát hiện được mối đe doạ hoặc không thể loại bỏ hoàn toàn mã độc – mã độc có thể xuất hiện trở lại sau khi khởi động lại máy. Hiện các tin về mã độc này đã lan rộng, do vậy các công ty an ninh đã cập nhật sản phẩm của mình để đảm bảo việc loại bỏ được triệt để.

Ngoài ra, người dùng có thể gỡ bỏ thủ công mã độc bằng cách xoá hai file dưới dây và khởi động lại máy:
/Library/LaunchDaemons/com.pplauncher.plist
/Library/Application Support/pplauncher/pplauncher
Đây không phải là công cụ đào tiền ảo duy nhất phát tán trên máy tính Mac. Vào tháng 2, Malwarebytes thông báo một loại tiền ảo Monero phán tán thông qua các phiên bản độc hại của các ứng dụng sẵn có trên website MacUpdate.

Theo SecurityWeek​