Ein Tiny-Core-Linux-9.0-Image, das für die Ausführung von XMRig konfiguriert ist, läuft auf einer VM und nicht auf Opferrechnern, die die Malware lokal hosten.
Ein ungewöhnlicher Cryptocurrency-Miner, genannt LoudMiner, verbreitet sich über Raubkopien der Virtual Studio Technology. Er verwendet Virtualisierungssoftware, um Monero auf einer virtuellen Maschine mit Tiny Core Linux abzubauen - ein einzigartiger Ansatz, so die Forscher.
Virtual Studio Technology (VST) ist eine Software-Schnittstelle für Audio-Plugins, die Software-Synthesizer und Effekte in digitale Audio-Workstations integriert. Die Idee besteht darin, traditionelle Aufnahmestudio-Funktionen zu simulieren. ESET-Analysten haben vor kurzem eine WordPress-basierte Website entdeckt, die trojanische Pakete mit der beliebten Software, darunter Propellerhead Reason, Ableton Live, Reaktor 6, AutoTune und andere, verhökert. Insgesamt stehen auf der Website 137 VST-bezogene Anwendungen (42 für Windows und 95 für MacOS) zum Herunterladen zur Verfügung.
Beim Herunterladen würde der Computer eines unbewussten Audiophilen mit LoudMiner infVirtual Studio Technology (VST) ausgestattet, die aus der VST-Anwendung, die mit Virtualisierungssoftware gebündelt ist, einem Linux-Image und zusätzlichen Dateien zur Erzielung von Beständigkeit besteht. Sie verwendet den XMRig-Kryptominer, der auf einer virtuellen Maschine gehostet wird. Bislang wurden drei Mac-Versionen und eine Windows-Variante der Malware entdeckt.
"Was die Art der anvisierten Anwendungen betrifft, so ist es interessant zu beobachten, dass ihr Zweck mit der Audioproduktion zusammenhängt", schrieb Michal Malik, Forscher an der ESET, in einem Posting am Donnerstag. "Daher sollten die Maschinen, auf denen sie installiert sind, über eine gute Rechenleistung und einen hohen CPU-Verbrauch verfügen, was die Benutzer nicht überraschen wird.
Da das Opfer auch eine funktionierende Version der Anwendung erhalten würde, die es erwartet, erhalten die Angreifer etwas Luftunterstützung.
"Diese Anwendungen sind normalerweise komplex, so dass es nicht unerwartet ist, dass es sich um große Dateien handelt", erklärte Malik. "Die Angreifer nutzen dies zu ihrem Vorteil, um ihre Bilder der virtuellen Maschine (VM) zu tarnen.
Trotz der Tarnbemühungen wird den Opfern laut Forumsbeiträgen schnell bewusst, dass etwas nicht stimmt, dank der Verlangsamung des Systems.
"Leider musste ich OSX neu installieren, das Problem war, dass Ableton Live 10, das ich von einer Torrent-Site und nicht von der offiziellen Seite heruntergeladen habe, auch einen Bergmann installiert, der im Hintergrund läuft und dies verursacht", sagte ein Benutzer namens "Macloni".
"Derselbe Benutzer hat Screenshots des Aktivitätsmonitors beigefügt, die zwei Prozesse - qemu-system-x86_64 und tools-service - zeigen, die 25 Prozent der CPU-Ressourcen beanspruchen und als Root laufen", sagte Malik und fügte hinzu, dass einige Benutzer volle 100 Prozent ihrer CPU-Kapazität gekapert fanden.
LoudMiner verwendet QEMU auf MacOS und VirtualBox auf Windows, um eine Verbindung zu einem Linux-Image herzustellen, das auf einer VM läuft - genauer gesagt handelt es sich um ein Tiny Core Linux 9.0-Image, das für die Ausführung von XMRig konfiguriert ist. Die Maschine des Opfers wird einem Mining-Pool hinzugefügt, den das Linux-Image für die CPU-Leistung verwendet.
Malik bemerkte, dass die Entscheidung der Malware-Autoren, VMs für die Durchführung des Mining zu verwenden, anstatt es lokal auf dem Computer des Opfers zu hosten, "ziemlich bemerkenswert ist und das ist nichts, was wir routinemäßig sehen" - obwohl es nicht unbekannt ist, dass legitime Bergleute die Strategie einsetzen, um Geld zu sparen.
"Der Benutzer lädt die Anwendung herunter und befolgt die beigefügten Anweisungen zur Installation. LoudMiner wird zuerst installiert, danach die eigentliche VST-Software", erklärte er. "LoudMiner versteckt sich und wird beim Neustart persistent. Die virtuelle Maschine unter Linux wird gestartet und das Mining beginnt. Skripte innerhalb der virtuellen Maschine können den C2-Server kontaktieren, um den Bergmann zu aktualisieren.
Er sagte, dass zur Identifizierung einer bestimmten Mining-Sitzung eine Datei mit der IP-Adresse des Rechners und dem Datum des Tages vom "idgenerator"-Skript erstellt und ihre Ausgabe vom "updater.sh-Skript" an den C2-Server gesendet wird.
Da LoudMiner einen Bergbau-Pool verwendet, sei es unmöglich, potenzielle Transaktionen zurückzuverfolgen, um herauszufinden, wie erfolgreich die Gegner bisher waren, fügte er hinzu.
Um die Bedrohung zu vermeiden, gelten uralte Ratschläge: Laden Sie keine Raubkopien von kommerzieller Software herunter. Malik gab auch einige Hinweise, um zu erkennen, wenn eine Anwendung unerwünschten Code enthält. Rote Flaggen umfassen ein Vertrauens-Popup von einem unerwarteten, "zusätzlichen" Installationsprogramm, hohen CPU-Verbrauch durch einen Prozess, den man nicht installiert hat (in diesem Fall QEMU oder VirtualBox), einen neuen Dienst, der zur Liste der Startdienste hinzugefügt wurde, und Netzwerkverbindungen zu merkwürdigen Domänennamen (wie Systemaktualisierungs- oder Systemprüfungsdienste).