Компания ESET, специализирующаяся в области кибербезопасности, обнаружила то, что она называет «необычным и постоянным майнером», распространяемым для macOS и Windows с августа 2018 года.
Согласно отчету ESET, новое вредоносное ПО, получившее название «LoudMiner», использует программное обеспечение для виртуализации - VirtualBox для Windows и QEMU для macOS - для майнинга криптовалюты на виртуальной машине Tiny Core Linux, что потенциально может заразить компьютеры в нескольких операционных системах.
Новый способ - старая цель
Сам майнер, как сообщается, использует XMRig - программное обеспечение с открытым исходным кодом, используемое для майнинга Monero (XMR), и майнинг-пул, тем самым якобы мешающий попыткам исследователей отслеживать транзакции.
Исследование показало, что как для macOS, так и для Windows майнер работает в пиратских приложениях, которые поставляются вместе с программным обеспечением для виртуализации, образами Linux и дополнительными файлами.
После загрузки LoudMiner поднимает свой ранг до самого необходимого программного обеспечения, но скрывается и становится постоянным только после перезагрузки.
ESET отмечает, что майнер нацелен на приложения, которые обычно запускаются на компьютерах с мощной вычислительной мощностью и в которых высокое потребление ресурсов процессора - в данном случае вызванное скрытым крипто-майнингом - может не показаться пользователям подозрительным.
Более того, злоумышленники якобы используют тот факт, что такие сложные приложения обычно являются сложными и большими, чтобы скрыть образы своих виртуальных машин. Исследователи добавляют:
Решение использовать виртуальные машины вместо более компактного решения весьма примечательно, и это не то, что мы обычно видим.
Пути майнинга без согласия
ESET определила три разновидности майнера, предназначенного для систем MacOS, и только одну для Windows.
В качестве предупреждения для пользователей, исследователи утверждают, что «очевидно, лучший совет для защиты от такого рода угроз - не загружать пиратские копии коммерческого программного обеспечения».
Тем не менее, наряду с высокой загрузкой ЦП, они предлагают несколько советов, помогающих пользователям обнаружить что-то, что может быть ошибочным, включая всплывающие окна из неожиданного, «дополнительного» установщика, или новую службу, добавленную в список служб запуска в Windows, или новый образ запуска в MacOS.
Исследователи добавляют, что сетевые соединения с необычными доменными именами - из-за сценариев внутри виртуальной машины, которые связываются с сервером C&C для обновления конфигурации майнера, - еще одна угроза.
