Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении необычного майнера криптовалюты под названием LoudMiner, который использует виртуализацию программного обеспечения — QEMU на macOS и VirtualBox на Windows — с целью добычи криптовалюты на виртуальных устройствах Tiny Core Linux.
Стоит отметить, что майнер криптовалюты распространяется в пиратских копиях программного обеспечения VST (Virtual Studio Technology). Соответственно основными жертвами данного майнера являются пользователи, которые используют программное обеспечение для работы со звуковыми редакторами. Поскольку их компьютеры и ноутбуки, как правило, имеют более мощные процессоры, которые помогают пользователям обрабатывать все типы звуков при создании музыки.
Данная вредоносная программа использует скомпрометированные устройства для майнинга криптовалюты и утилиты SCP (Secure File Copy) со встроенным именем и частным ключом SSH для самостоятельного обновления. Важно отметить, что угроза LoudMiner активна с августа 2018 года.
Как отмечают исследователи ESET, такие программы представляют значительную угрозу для пользователей из-за сложности выявления вредоносной деятельности на устройствах жертв. Кстати, использование виртуальных машин для загрузки майнера криптовалюты вместо размещения вредоносного кода локально на компьютере жертвы является достаточно необычным способом распространения угрозы.
«LoudMiner нацелен на аудио-приложения, в связи с тем, что рабочие станции, которые работают с этими приложениями, часто имеют более высокую мощность обработки. Эти программы, как правило, сложные и потребляют много ресурсов процессора, поэтому пользователи не обращают особого внимания на это. Использование виртуальных машин вместо другого решения отличается своей уникальностью, и не похоже на то, что мы выявляли ранее», — комментирует старший исследователь вредоносных программ компании ESET.
Кроссплатформенный майнер криптовалюты: советы по выявлению нежелательного кода в программе
В связи с распространением вредоносных программ для скрытого майнинга специалисты ESET рекомендуют:
1. Не загружать пиратские копии программного обеспечения.
2. Будьте осторожны при возникновении всплывающих окон с неожиданными «дополнительными» инсталляторами (в данном случае сетевого адаптера Oracle).
3. Следить за мощностью процессора, поскольку его высокая активность является одним из признаков майнинга (QEMU или VirtualBox в данном случае).
4. Также сетевые подключения к странным доменным именам могут свидетельствовать о наличии вредоносного кода (например, system-update [.]info или system-check[.]services в этом случае).