Malwarebytes, firma zajmująca się dostarczaniem oprogramowania antywirusowego, poinformowała o odkryciu złośliwego oprogramowania dla komputerów z systemem MacOS, które wykorzystując moc obliczeniową zainfekowanej jednostki, kopie kryptowalutę Monero (XMR). Problemy użytkowników sprzętu Apple z przegrzewaniem się komputerów i wysokim zużyciem mocy procesorów naprowadziły Malwarebytes na trop ataku cryptojackingowego. Atak potwierdza, że komputery Apple są bezpieczne wyłącznie wtedy, gdy ich użytkownicy zachowują zasady bezpieczeństwa.
Na czym polega atak?
Złośliwe oprogramowanie funkcjonuje z wykorzystaniem nieinwazyjnego procesu w systemie operacyjnym MacOS o nazwie „mshelper”, który ma pełen dostęp do mocy obliczeniowej komputera. Aby doszło do przejęcia wspomnianego procesu, musi dojść do zainstalowania zainfekowanego lub podszywającego się oprogramowania (w przypadku Maców bardzo często jest to Adobe Flash Player lub rozmaite aplikacje „przyspieszające pracę” komputera, a także pirackie programy z nielegalnych źródeł), czyli tzw. „droppera”. W przypadku opisywanego ataku, „dropper" nie został zidentyfikowany.
Zainfekowana aplikacja instaluje w bibliotekach MacOS plik o nazwie „pplauncher”, ważący ok. 3.5 MB, uruchamiający proces kopania Monero za pomocą zmodyfikowanej wersji ogólnodostępnego oprogramowania XMRig. Opisywany plik znajduje się w poniższej lokalizacji:
~/Library/Application Support/pplauncher/pplauncher
Sam proces kopania odbywa się przez wspomniany wyżej proces „mshelper”:
/tmp/mshelper/mshelper
Czy atak jest niebezpieczny?
Atak sam w sobie nie zagraża w żaden sposób bezpieczeństwu danych na zainfekowanym komputerze. Na dłuższą metę może jednak doprowadzać do przegrzewania się jednostek, szczególnie starszych, w których system chłodzenia nie działa wydajnie. Sam proces kopania doprowadza do znacznego zwiększenia obciążenia procesora i w przypadku wykonywania bardziej skomplikowanych operacji, może spowolnić pracę komputera.
Złośliwe oprogramowanie jest dość łatwe do usunięcia, powinno zostać rozpoznane przez oprogramowanie antywirusowe. Jednym z mitów krążących wśród użytkowników komputerów Apple jest przekonanie, że na MacOS praktycznie nie ma wirusów i złośliwego oprogramowania. Powyższa sytuacja jasno pokazuje, że jest to błędne założenie, które może doprowadzić do zainfekowania komputera znacznie groźniejszym oprogramowaniem niż program cryptojackingowy.
Czym jest cryptojacking?
Cryptojacking to proces wykorzystywania mocy obliczeniowej komputerów ( w tym również smartfonów, tabletów, etc.) do kopania kryptowalut bez wiedzy właściciela urządzenia. Proces kopania może odbywać się poprzez instalację zainfekowanego pliku na komputerze, jak miało to miejsce w opisywanym wyżej przypadku lub przez przeglądarkę internetową, która po odwiedzeniu infekującej witryny aktywuje pracujący w tle proces w JavaScript, który kopie kryptowalutę.
Na ataki cryptojackingowe narażone są szczególnie duże witryny, które odwiedzają tysiące użytkowników dziennie. Infekowanie niewielkich stron nie jest opłacalne dla atakujących.
Kopanie kryptowalut w przeglądarce jest również obecnie formą finansowania działalności serwisów internetowych, zastępującym np. banery reklamowe. W każdym takim wypadku właściciele strony powinni poinformować odwiedzających o takiej formie wykorzystania ich mocy obliczeniowej.
Nie daj się nabić w kopanie!
Ataki cryptojackingowe są coraz powszechniejsze, dlatego też warto wiedzieć jak się przed nimi bronić.
Aby ochronić się przed złośliwym oprogramowaniem instalującym się na komputerze, należy korzystać wyłącznie z oryginalnych programów, pobierać darmowe oprogramowanie wyłącznie z oficjalnych źródeł, nie ściągać plików z sieci torrent, a także korzystać z oprogramowania antywirusowego, które najczęściej wychwytuje tego typu złośliwe programy.
W przypadku skryptów kopiących za pomocą przeglądarki, warto zrezygnować z odwiedzania podejrzanych witryn, szczególnie z pirackimi plikami i oprogramowaniem. Należy również korzystać z przeglądarki internetowej zapewniającej bezpieczeństwo, takiej jak np. Brave lub Chrome/Firefox z zainstalowaną wtyczką xMatrix, która blokuje skrypty ingerujące w prywatność i wykorzystujące moc obliczeniową. Pod koniec stycznia przeglądarka Opera w swojej najnowszej aktualizacji również została wzbogacona o funkcję blokowania skryptów cryptojackingowych w ramach wbudowanego AdBlocka.
Dlaczego Monero?
Nie da się ukryć, że Monero jest ulubioną kryptowalutą kopaną przez atakujących. XMR jest czołowym przedstawicielem tzw. private-coins (obok m.in. Zcash, Bytecoin, PIVX, Verge), uznawanym obecnie za najbardziej anonimową walutę cyfrową, dlatego też jest ona atrakcyjna dla oszustów. Co więcej, algorytm Proof of Work o nazwie CryptoNightv7 zastosowany w Monero, pozwala na kopanie przy użyciu sprzętów o bardzo niskiej mocy obliczeniowej (smartfonów, CPU laptopów, etc.), zachowując przy tym relatywną opłacalność. Obecnie (25 maja) rentowność kopania Monero wynosi ok. 80-85% rentowności miningu benchmarkowego Ethereum, co w połączeniu z całkowitą anonimowością uzasadnia dlaczego jest to najczęściej wykorzystywana w atakach cryptojackingowych waluta cyfrowa.
Jak wspomniano wyżej, to nie pierwszy atak cryptojackingowy, w którym zostało wykorzystane Monero:
Czytaj także: „Snobistyczny” program do cryptojackingu zainfekował w ciągu trzech dni ponad pół miliona komputerów
