Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення незвичайного майнера криптовалюти під назвою LoudMiner, який використовує віртуалізацію програмного забезпечення — QEMU на macOS та VirtualBox на Windows — з метою видобутку криптовалюти на віртуальних пристроях Tiny Core Linux.
Варто зазначити, що майнер криптовалюти розповсюджується в піратських копіях програмного забезпечення VST (Virtual Studio Technology). Відповідно основними жертвами даного майнера є користувачі, які працюють з програмним забезпеченням для роботи зі звуковими редакторами. Оскільки їх комп'ютери та ноутбуки, зазвичай, мають потужніші процесори, які допомагають користувачам обробляти всі типи звуків під час створення музики.
Дана шкідлива програма використовує скомпрометовані пристрої для майнінгу криптовалюти та утиліти SCP (Secure File Copy) з вбудованим іменем користувача та приватним ключем SSH для самостійного оновлення. Важливо відмітити, що загроза LoudMiner активна з серпня 2018 року.
Як зазначають дослідники ESET, такі програми становлять значну загрозу для користувачів через складність виявлення шкідливої діяльності на пристроях жертв. До речі, використання віртуальних машин для завантаження майнера криптовалют замість розміщення шкідливого коду локально на комп’ютері жертви є досить незвичним способом поширення загрози.
«LoudMiner націлений на аудіо-додатки, у зв’язку з тим, що робочі станції, які працюють з цими додатками, часто мають більш високу потужність обробки. Ці програми, як правило, складні та споживають багато ресурсів процесора, тому користувачі не звертають особливої уваги на це. Використання віртуальних машин замість іншого рішення відрізняється своєю унікальністю, і не схоже на те, що ми звикли спостерігати», — коментує старший дослідник шкідливих програм компанії ESET.
Крос-платформний майнер криптовалюти: поради щодо виявлення небажаного коду в програмі
У зв’язку з поширенням шкідливих програм для прихованого майнінгу спеціалісти ESET рекомендують:
- Не завантажувати піратські копії програмного забезпечення.
- Остерігатися спливаючих вікон з несподіваними «додатковими» інсталяторами (в даному випадку мережевого адаптера Oracle).
- Слідкувати за потужністю процесора, оскільки його висока активність є однією з ознак майнінгу (QEMU або VirtualBox у даному випадку).
- Також мережеві підключення до дивних доменних імен можуть свідчити про наявність шкідливого коду (наприклад, system-update[.]info або system-check[.]services у цьому випадку).