Virtuális gépet használó kriptobányász programot fedeztek fel

|

A windowsos és macOS-es számítógépeken egyaránt garázdálkodó LoudMinert VST szoftverekkel terjesztik.

Az ESET biztonsági cég  nyilvánosságra hozta elemzését a rosszindulatú, többplatformos LoudMiner nevű kriptobányász programról. A LoudMiner a macOS alatt a QEMU-t, Windows-környezetben a VirtualBoxot használja egy Tiny Core Linux virtuális gép futtatására, amely a Monero kriptovalutát bányássza. A rejtve működő programot 137 olyan windowsos és macOS-es audió alkalmazás feltört változatához csomagolták, amelyek támogatják a VST plugineket, és amelyeket egyetlen weboldalon kínálnak, de az ESET szerint valójában 29 külső szerveren helyezkednek el. A 137 program közül 42 windowsos, 95 pedig macOS alapú. A rosszindulatú célra felhasznált alkalmazások között megtalálható a Propellerhead Reason, az Ableton Live, a Sylenth1, a Nexus, a Reaktor 6 és az AutoTune feltört változata.

Hirdetés

Az ESET vezető malware kutatója, Marc-Etienne M. Léveillé szerint a hackerek azért választották ezeket az alkalmazásokat a LoudMiner terjesztésére, mert az audióprogramokat futtató számítógépek általában nagyobb teljesítményűek.

- Ráadásul ezek az alkalmalmazások általában komplexek és nagy teljesítményigényúek, így a felhasználók nem találják gyanúsnak a rejtett tevékenységükből eredő nagy terhelést. Viszont az kivételes, hogy virtuális gépet használnak a kiberbűnözők egy egyszerűbb megoldás helyett, ilyennel nem gyakran találkozhatunk, tette hozzá a szakember.

A LoudMiner 2018 augusztusa óta garázdálkodik, és SCP kommunikációt használ önmaga frissítésére. Mind a windowsos, mind a macOS-es változatok hasonlóan működnek: miután a felhasználó letöltötte a feltört alkalmazást, először a LoudMiner telepítődik, majd a VST szoftver.

A kriptobányász modul elrejti magát és újraindításkor perzisztenssé válik, ha pedig frissítés szükséges, kapcsolatba lép a C&C szerverével. Az ESET kutatói három macOS és egy Windows variánsát azonosították. A bányászprogram az XMRig-en alapul és egy bányász poolt használ, ami lehetetlenné teszi a tranzakciók nyomon követését, olvashatjuk a LoudMiner ESET által közzétett elemzési jelentésében.

Hirdetés
Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.