LoudMiner: O minerador que anda escondido em programas VST “pirateados”
Investigadores da ESET revelam detalhes de um incomum minerador que acompanha as cópias piratas de programas VST de áudio e que faz a mineração de criptomoedas em máquinas virtuais.
LoudMiner é um caso incomum de um minerador de criptomoedas, persistente, distribuído para macOS e Windows desde agosto de 2018.
Utiliza programas de virtualização – QEMU em macOS e VirtualBox em Windows – para realizar a mineração de criptomoedas numa máquina virtual Tiny Core Linux, o que o torna multiplataforma. Está incluído em cópias piratas de programas VST (Virtual Studio Technology). O minerador em si é baseado em XMRig (Monero) e utiliza um pool de mineração, pelo que é impossível rastrear potenciais transações.
LoudMiner - Como tudo funciona?
De um modo geral, as análises realizadas tanto para macOS como Windows demonstram o seguinte:
- Uma aplicação empacotada com um programa de virtualização, uma imagem Linux e outros ficheiros adicionais são utilizados para conseguir persistência.
- Os utilizadores descarregam as aplicações e seguem as instruções das mesmas sobre a instalação dos programas VST.
- O LoudMiner é instalado primeiro e de seguida o plugin VST.
- O LoudMiner esconde-se e volta persistente no arranque.
- A máquina virtual de Linux é executada e o processo de mineração começa.
- Os scripts dentro da máquina virtual podem contactar o servidor C&C para atualizar o mineiro (configuração e binários).
- Informações detalhadas podem ser encontradas aqui.
Proteção contra o minerado LoudMiner
Obviamente, a melhor recomendação para estar protegido perante este tipo de ameaças é não fazer download de cópias piratas de programas pagos. No entanto, existem alguns aspetos que podem ajudá-lo a identificar quando uma aplicação contém um código não desejado:
- Uma janela que aparece de um inesperado instalador “adicional” (neste caso o adaptador de rede da Oracle).
- Elevado consumo do CPU por um processo que não tem instalado (QEMU ou VirtualBox neste caso).
- Um novo serviço adicionado à lista de serviços de início (Windows) ou um novo Daemon de Execução (macOS).
- Ligações de rede com nomes de domínio estranhos (tais como system-update[.]info o system-check[.]services).
O Pplware agradece à ESET pela produção deste conteúdo.
Este artigo tem mais de um ano
“Obviamente, a melhor recomendação para estar protegido perante este tipo de ameaças é não fazer download de cópias piratas de programas pagos”
Está tudo dito.
Nope… fica mais barato na mesma piratear.
Publicação útil para quem utiliza as criptomoedas
Não obrigado há bitcoin 😀
Que venha a maior moeda do mundo 😀
Isso é para aqueles noobs que descarregam torrents de qualquer fonte. Quem está por dentro sabe onde arranjar o “original”.
Não. É para aqueles que baixam VST’s piratas. Original quase sempre é pago!
VST (Steinberg) estamos a falar de plugins e não de programas certo ?
Sim, mas os VST’s para programas de áudio muitas vezes acompanha um SetUp
Todos esses casos ja aconteceram comigo, eu usava muito VST pirata. É tão boa a sensação de ter algo que seria pago de graça kakakakaka
Por estas e por outras deixei de usar programas pirateados.