złośliwe oprogramowanie kryptowalutowe

 

Firma ESET zajmująca się cyber bezpieczeństwem wykryła nowe, nietypowe złośliwe oprogramowanie do kopania kryptowalut. Jest ono dystrybuowane dla systemów MacOS i Windows od sierpnia 2018 roku. Wiadomość ta została ujawniona w raporcie ESET Research opublikowanym 20 czerwca tego roku.
Według ESET nowe złośliwe oprogramowanie, nazwane „LoudMiner”, wykorzystuje oprogramowanie do wirtualizacji – VirtualBox na Windows i QEMU na macOS – do wydobywania kryptowalut na maszynie wirtualnej Tiny Core Linux, dzięki czemu może infekować komputery z różnymi systemami operacyjnymi.

 

Sam miner używa XMRig – otwartego oprogramowania używanego do wydobywania skoncentrowanego na prywatności Altcoina, Monero (XMR) – oraz mining pool, tym samym udaremniając naukowcom próby prześledzenia transakcji.

Badania wykazały, że zarówno w przypadku systemu MacOS, jak i Windows, program rozprowadzany jest w pirackich aplikacjach, które są połączone z oprogramowaniem do wirtualizacji, obrazem systemu Linuks oraz dodatkowymi plikami.
Po pobraniu, LoudMiner jest instalowany przed pożądanym oprogramowaniem. Działanie aplikacji jest proste, po instalacji oprogramowanie nie jest widoczne dla użytkownika, a uaktywnia się dopiero po ponownym uruchomieniu komputera.

ESET zauważa, że ​​złośliwe oprogramowanie, najczęściej łączone jest z aplikacjami które służą do produkcji i obróbki audio. Tego typu programy zużywają zazwyczaj do pracy dużej mocy obliczeniowej. Dlatego duże zużycie zasobów procesora – w tym przypadku spowodowane przez złośliwe oprogramowanie – może nie wzbudzić większysz podejrzeń u użytkowników.
Co więcej, atakujący wykorzystują fakt, że aplikacje do obróbki dzwięku są złożone i zajmują dużo przestrzeni dyskowej i ukrywają w nich swoje złośliwe oprogramowanie.

Badacze z ESET dodają:

„Decyzja o wykorzystaniu maszyn wirtualnych zamiast “lżejszego” rozwiązania jest dość niezwykła i nie jest to coś, co zazwyczaj widzimy”.

ESET zidentyfikował trzy odmiany programu, którego celem są systemy MacOS, i tylko jeden dla systemu Windows.
Jako ostrzeżenie dla użytkowników badacze z ESSET podają, że „oczywiście najlepszą radą, jaką należy chronić przed tego rodzaju zagrożeniem, jest nie pobieranie pirackich kopii oprogramowania komercyjnego”.
Niemniej jednak, poza obserwacją wysokiego zużycia procesora, oferują kilka wskazówek, które pomogą użytkownikom wykryć coś, co może być ostrzeżeniem. Wyskakujące okienka z nieoczekiwanego „dodatkowego” instalatora lub nową pozycję dodaną do listy usług startowych (Windows) lub nowego Launch Deamon (System operacyjny Mac).

Połączenia sieciowe z nietypowymi nazwami domen – ze względu na skrypty w maszynie wirtualnej, które kontaktują się z serwerem C&C w celu przeprowadzenia konfiguracji oprogramowania – to kolejny wskazówka, dodają naukowcy.

Ostatnia aktualizacja :