ИБ-специалисты предупредили пользователей пиратских программ о риске получить на компьютер майнер — преступники встраивают нежелательное ПО во взломанные дистрибутивы. Обнаруженная кампания, стартовавшая еще в августе 2018 года, получила название LoudMiner.

Мошенники использовали VST-плагины для macOS и Windows, применяемые в цифровых звуковых рабочих станциях, — их немалый вес позволяет легко скрыть сторонний модуль. Эксперты также указывают, что криптоджекеров особо интересуют пользователи таких приложений, поскольку те работают на производительных компьютерах.

Исследователи насчитали 137 вредоносных дистрибутивов (42 для Windows, 95 для macOS), включая копии таких программ, как Propellerhead Reason, Ableton Live, Nexus, Reaktor, AutoTune. Файлы хранятся на 29 серверах, ссылки на которые опубликованы на специально созданном WordPress-сайте. Как уже бывало раньше, нежелательную программу также можно скачать с торрент-трекеров.

Полезная нагрузка — это доработанный майнер XMrig. Преступники применили сразу несколько техник, чтобы избежать преждевременного обнаружения и закрепиться на зараженной машине.

Главное новшество состоит в загрузке криптоджекера через виртуальную машину Tiny Core Linux, что позволяет ему работать в разных операционных системах. Именно ее образ и составляет основной объем LoudMiner. Кроме того, вредоносная сборка включает несколько скриптов, демонов и оболочек для распаковки содержимого и загрузки ПО.

Виртуальная система устанавливается сразу при открытии дистрибутива; каждый образец LoudMiner загружает два образа, каждый из который занимает 128 Мбайт RAM и одно ядро процессора. Злоумышленники создали специальный скрипт для контроля CPU — он запускает майнинг после двух минут простоя системы и останавливает процесс, если нагрузка переваливает за 85%.

И Windows-, и macOS-версии LoudMiner прописываются в автозагрузке и повторно запускаются после принудительного завершения. Преступники тщательно заметают следы присутствия — удаляют загрузочные файлы, прячут виртуальную машину в скрытых папках. Некоторые жертвы смогли избавиться от нежелательной программы только после переустановки ОС.

Специалисты по безопасности указывают, что полную безопасность гарантирует только полный отказ от нелегального ПО. Если же пользователь все-таки устанавливает пиратскую программу, ему следует внимательно отслеживать, какие компоненты он получает в комплекте, и оперативно удалять модули, которые занимают лишние ресурсы и оказываются в автозагрузке.

В 2018 году операторы криптоджекеров уже атаковали пользователей пиратского ПО — вредоносный модуль обнаружили в утилите для взлома продуктов Adobe. Помимо добычи токенов Monero, зловред перехватывал и подменял трафик.

Категории: Аналитика, Вредоносные программы