Investigadores da ESET revelam detalhes de um incomum minerador que acompanha as cópias piratas de programas VST de áudio e que faz a mineração de criptomoedas em máquinas virtuais.
LoudMiner é um caso incomum de um minerador de criptomoedas, persistente, distribuído para macOS e Windows desde agosto de 2018.
Utiliza programas de virtualização – QEMU em macOS e VirtualBox em Windows – para realizar a mineração de criptomoedas numa máquina virtual Tiny Core Linux, o que o torna multiplataforma. Está incluído em cópias piratas de programas VST (Virtual Studio Technology). O minerador em si é baseado em XMRig (Monero) e utiliza um pool de mineração, pelo que é impossível rastrear potenciais transações.
LoudMiner – Como tudo funciona?
De um modo geral, as análises realizadas tanto para macOS como Windows demonstram o seguinte:
- Uma aplicação empacotada com um programa de virtualização, uma imagem Linux e outros ficheiros adicionais são utilizados para conseguir persistência.
- Os utilizadores descarregam as aplicações e seguem as instruções das mesmas sobre a instalação dos programas VST.
- O LoudMiner é instalado primeiro e de seguida o plugin VST.
- O LoudMiner esconde-se e volta persistente no arranque.
- A máquina virtual de Linux é executada e o processo de mineração começa.
- Os scripts dentro da máquina virtual podem contactar o servidor C&C para atualizar o mineiro (configuração e binários).
- Informações detalhadas podem ser encontradas aqui.
Proteção contra o minerado LoudMiner
Obviamente, a melhor recomendação para estar protegido perante este tipo de ameaças é não fazer download de cópias piratas de programas pagos. No entanto, existem alguns aspetos que podem ajudá-lo a identificar quando uma aplicação contém um código não desejado:
- Uma janela que aparece de um inesperado instalador “adicional” (neste caso o adaptador de rede da Oracle).
- Elevado consumo do CPU por um processo que não tem instalado (QEMU ou VirtualBox neste caso).
- Um novo serviço adicionado à lista de serviços de início (Windows) ou um novo Daemon de Execução (macOS).
- Ligações de rede com nomes de domínio estranhos (tais como system-update[.]info o system-check[.]services).
O Pplware agradece à ESET pela produção deste conteúdo.