Linux Cryptominer utiliza maquinas virtuales para atacar a Windows

linux

Un nuevo malware de minería de criptomonedas llamado LoudMiner utiliza un software de virtualización para implementar una variante de minador de moneda XMRig de Linux en sistemas Windows y macOS a través de una máquina virtual Tiny Core Linux

El software malicioso viene incluido en las copias agrietadas del software Windows y macOS VST, como Propellerhead Reason, Ableton Live, Sylenth1, Nexus, Reaktor y AutoTune.

LoudMiner se distribuye a través de un sitio web controlado por un atacante que actualmente enlaza a 137 aplicaciones relacionadas con VST, 42 de ellas para Windows y 95 para la plataforma macOS, todas ellas actualizadas con frecuencia y alojadas en 29 servidores, como lo descubrió el ingeniero de detección de ESET Research, Michal. Malik.

LoudMiner se dirige a víctimas con sistemas potentes

Al parecer, los actores de amenazas se dirigen a los sistemas de producción de audio conocidos por tener hardware de alta gama y por estar bajo una carga constante mientras procesan el contenido de audio, una buena manera de ocultar una operación de cifrado de Monero subrepticia.

Si bien la máquina virtual Tiny Core Linux y el coinminer pueden tener un tamaño de más de 100 MB cuando no están comprimidos, los desarrolladores de malware no tienen realmente ninguna razón para encontrar una forma de reducirlos, dado que se sabe que los hosts VST son bastante grandes.

Esto hace posible ocultar el malware "a simple vista", y las víctimas implementan LoudMiner en sus propios sistemas al instalar el software pirateado VST que viene "incluido con el software de virtualización, una imagen de Linux y archivos adicionales utilizados para lograr la persistencia".

Durante el proceso de instalación, LoudMiner es el primero en ser lanzado en la computadora ahora comprometida, junto con varios scripts y el software de virtualización necesario para ejecutar el VM coinminer de Linux - QEMU para macOS y VirtulBox para Windows - con el software VST que se instala posteriormente.

"Al analizar las diferentes aplicaciones, hemos identificado cuatro versiones del minero, principalmente basadas en la forma en que se incluye con el software real, el dominio del servidor C&C, y algo que creemos es una cadena de versión creada por el autor", dice Malik.

Infectando computadoras Windows y MacOS

En macOS, LoudMiner agregará "archivos plist en / Library / LaunchDaemons con RunAtLoad configurado en verdadero" para la persistencia, con la opción KeepAlive también establecida en verdadero, asegurando que el proceso malicioso se reiniciará si se detiene.

Estas listas lanzarán automáticamente una serie de scripts de shell diseñados para iniciar las máquinas virtuales en el arranque y cargarán dos instancias de las imágenes infestadas de coinminer.

En las máquinas con Windows, el malware utiliza un script por lotes para iniciar la imagen de Linux del coinminer como un servicio para asegurarse de que se reiniciará después de los reinicios.

En las Mac infectadas, el malware también utiliza un "script de shell de monitor de CPU con un demonio adjunto que puede iniciar / detener la extracción según el uso de la CPU y si el proceso del Monitor de actividad se está ejecutando", según Malik.

"La secuencia de comandos del monitor de la CPU puede iniciar y detener la minería al cargar y descargar el daemon. Si el proceso del Monitor de actividad se está ejecutando, la minería se detiene".

Más detalles sobre las cuatro variantes de LoudMiner descubiertas, una lista completa de Indicadores de Compromiso (IoC), así como más información sobre las técnicas MITRE ATT y CK usadas se pueden encontrar en el análisis exhaustivo de malware de ESET Research .

Si bien el uso que hace LoudMiner de la virtualización para apuntar a múltiples plataformas es bastante exótico, definitivamente no es una idea nueva, ya que los investigadores presentan una cepa de malware utilizando máquinas virtuales como parte de su proceso de infección en un artículo de 2006.

El documento en cuestión es "SubVirt: implementando malware con máquinas virtuales", un documento publicado por investigadores de Microsoft Research y la Universidad de Michigan y está disponible aquí , en formato PDF.

La investigación muestra un rootkit basado en máquina virtual (VMBR) que "instala un monitor de máquina virtual debajo de un sistema operativo existente y eleva el sistema operativo original a una máquina virtual".

Fecha actualización el 2021-06-21. Fecha publicación el 2019-06-21. Categoría: linux Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil