新型恶意挖矿软件LoudMiner，利用Linux虚拟机感染Windows和Mac OS

据 Verdict 报道，IT 安全专家 ESET 表示已确定一种新型加密货币恶意挖矿软件 LoudMiner ，可利用虚拟化软件，如 macOS 上的 QEMU 或 Windows 上的 VirtualBox 感染无对应防护措施的设备，从而在 Tiny Core Linux 虚拟机上挖掘加密货币。

Tiny Core Linux (TCL) 是一款极体积极小且高度可扩展的微型 Linux 发行版，它将一个 Linux 操作系统精简到仅有 10 多 MB 左右的大小，似乎小巧得有点让人叹为观止！

要知道无论是常见的 Ubuntu、CentOS、Debian 的体积动辄就是几百MB甚至要上GB了，Tiny Core Linux 一出手则技惊四座，它包含了 BusyBox 和 FLTK 图形界面，不仅体积极小，对硬件配置要求也非常低，即使在古董级的电脑上也能跑得欢…

恶意挖矿软件工作原理

根据ESET的说法，LoudMiner自2018年8月开始使用，其工作原理是感染PC或一种名为VST（ Virtual Studio Technology ）的盗版音频软件插件接口。受损机器将在用户不知情的情况下秘密挖掘加密货币。

VST（Virtual Studio Technology），中文名为虚拟工作室技术，是Steinberg公司推出的一项软件接口技术，主要用于计算机音乐制作领域，以插件的形式供音频处理相关的软件来使用。使用VST插件，用户可以对音频讯号进行处理，也可以使用VST乐器（VSTi, VST instruments）来创作音乐。开发者可以使用Steinberg所提供的开发套件，来自主开发各种类型的VST插件。

由于这是用于音频制作的软件，因此这种类型的插件通常安装在具有良好处理能力的机器上，本身的消耗率很高，也就意味着用户通常不会注意到CPU使用率的增加。攻击者利用这一优势来伪装他们的VM镜像。此外，使用虚拟机而不是更精简的解决方案的决定是非常了不起的，这不是我们经常看到的。

LoudMiner使用macOS上的QEMU和Windows上的VirtualBox连接到VM上运行的Linux映像 - 更具体地说，它是配置为运行XMRig的Tiny Core Linux 9.0映像。

受害者的计算机被添加到Linux映像用于CPU电源的挖掘池中。

用户下载应用程序并遵循有关如何安装它的附加说明。 首先安装LoudMiner，之后是实际的VST软件。 LoudMiner隐藏自己并在重启时变得持久。 启动Linux虚拟机并开始挖掘。 虚拟机内的脚本可以联系C2服务器以更新矿工。

为了识别特定的挖掘会话，“idgenerator”脚本会创建一个包含机器IP地址和日期日期的文件，并通过“updater.sh”脚本将其输出发送到C2服务器。但是 由于LoudMiner使用的是一个采矿池，因此无法回溯潜在的交易。

不同之处

在盗版软件中隐藏恶意软件并不是什么新鲜事，但LoudMiner的独特之处在于它是跨平台的，影响到了 MacOS和Windows的用户。

安全专家称：“使用虚拟机而不是其他更精简的解决方案是非常了不起的，而且我们以前从未见过这种解决方案。”

影响

LoudMiner，本质上市XMRig 门罗币加密货币挖矿软件。尚不清楚黑客是否能够通过这次攻击获得了多少加密货币。

但是CPU使用量的增加，将使机器运行缓慢，缩短电池寿命并导致机器运行异常，最终可能导致设备无法使用。

为了防止出现这种情况，ESET警告不要下载商业软件的盗版副本，并建议用户注意计算机可能已被加密的迹象，例如来自意外“额外”安装程序的弹出窗口，更高的CPU消耗，以及新服务和来自未知域名的连接。

一名受害者报告表示，必须重新安装MacOS来消除这个缺陷。对此，ESET研究人员建议不要安装盗版软件避免类似的攻击。

来源： Verdit、IT之家

:warning: 注意

2019 看雪安全开发者峰会门票正在热售中！

长按识别下方 二维码 ， 即可享受  2.5折  优惠！

﹀

﹀

﹀

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

点击阅读原文，了解更多！