Исследователи раскрыли угрозу «необычного виртуального майнинга»

Компания ESET, специализирующаяся в области кибербезопасности, обнаружила то, что она называет «необычным и постоянным майнером», распространяемым для macOS и Windows с августа 2018 года.

Согласно отчету ESET, новое вредоносное ПО, получившее название «LoudMiner», использует программное обеспечение для виртуализации — VirtualBox для Windows и QEMU для macOS — для майнинга криптовалюты на виртуальной машине Tiny Core Linux, что потенциально может заразить компьютеры в нескольких операционных системах.

Новый способ — старая цель

Сам майнер, как сообщается, использует XMRig — программное обеспечение с открытым исходным кодом, используемое для майнинга Monero (XMR), и майнинг-пул, тем самым якобы мешающий попыткам исследователей отслеживать транзакции.

Исследование показало, что как для macOS, так и для Windows майнер работает в пиратских приложениях, которые поставляются вместе с программным обеспечением для виртуализации, образами Linux и дополнительными файлами.

После загрузки LoudMiner поднимает свой ранг до самого необходимого программного обеспечения, но скрывается и становится постоянным только после перезагрузки.

ESET отмечает, что майнер нацелен на приложения, которые обычно запускаются на компьютерах с мощной вычислительной мощностью и в которых высокое потребление ресурсов процессора — в данном случае вызванное скрытым крипто-майнингом — может не показаться пользователям подозрительным.

Более того, злоумышленники якобы используют тот факт, что такие сложные приложения обычно являются сложными и большими, чтобы скрыть образы своих виртуальных машин. Исследователи добавляют:

Решение использовать виртуальные машины вместо более компактного решения весьма примечательно, и это не то, что мы обычно видим.

Пути майнинга без согласия

ESET определила три разновидности майнера, предназначенного для систем MacOS, и только одну для Windows.

В качестве предупреждения для пользователей, исследователи утверждают, что «очевидно, лучший совет для защиты от такого рода угроз — не загружать пиратские копии коммерческого программного обеспечения».

Тем не менее, наряду с высокой загрузкой ЦП, они предлагают несколько советов, помогающих пользователям обнаружить что-то, что может быть ошибочным, включая всплывающие окна из неожиданного, «дополнительного» установщика, или новую службу, добавленную в список служб запуска в Windows, или новый образ запуска в MacOS.

Исследователи добавляют, что сетевые соединения с необычными доменными именами — из-за сценариев внутри виртуальной машины, которые связываются с сервером C&C для обновления конфигурации майнера, — еще одна угроза.

Источник: AltStake



Самые актуальные новости - в Telegram-канале

Читайте также

Вверх