Майнер LoudMiner маскируется под приложения для работы со звуком - «Новости»

Xakep #243. Лови сигнал

• Содержание выпуска


• Подписка на «Хакер»

Аналитики компании ESET обнаружили майнера LoudMiner, ориентированного как на macOS, так и на Windows. Интересно, что малварь маскируется под различные пиратские приложения для работы со звуком. Например, в качестве приманки выступали такие популярные решения, как  Ableton Live, Nexus, Reaktor 6, Propellerhead Reason, Virtual Studio Technology и ряд других.

Судя по всему, использование таких программ в качестве наживки обусловлено тем, что пользователь может долгое время не замечать присутствие майнера: программы для работы со звуком значительно увеличивают нагрузку на процессор, поэтому жертва может не обратить внимания, что на самом деле ее система майнит криптовалюту.

В общей сложности исследователи обнаружили 137 вредоносных приложений, связанных с VST (42 для Windows и 95 для macOS), доступных на одном WordPress-сайте, чьей домен был зарегистрирован 24 августа 2018 года. Первое приложение (Kontakt Native Instruments 5.7 для Windows) было загружено в тот же день. Экспертам удалось выделить три версии малвари, предназначенные для macOS, и одну для Windows.

При этом сами вредоносные приложения размещаются не на этом сайте, а на 29 внешних серверах, а операторы малвари часто обновляют приложения новыми версиями, что затрудняет отслеживание самой первой версии майнера.

В случае macOS майнер использует ПО для виртуализации QEMU, а заражая Windows-системы прибегает к помощи VirtualBox.

Для майнинга используется виртуальная машина Tiny Core Linux, настроенная для запуска XMRig, а также способная поддерживать связь с C&C-сервером злоумышленников для получения своевременных обновлений и инструкций. Все это позволило сделать угрозу кроссплатформенной и добывать криптовалюту Monero на разных операционных системах.

Исследователи отмечают, что лучшая защита от таки угроз: не загружать пиратские копии коммерческого ПО.