پژوهشگران امنیت سایبری جزئیات یک نوع بدافزار جدید را منتشر کردند که سیستمهای ویندوز و macOS را با یک بدافزار استخراج رمزارز مبتنیبر لینوکس هدف قرار میدهد. این بدافزار که LoudMiner یا Bird Miner نامیده میشود، از نرمافزار مجازیسازی مبتنیبر خط فرمان در سیستمهای هدف استفاده میکند تا بهطور مخفیانه یک ایمیج از سیستم عامل Tiny Core لینوکس حاوی یک نرمافزار استخراج رمزارز را راهاندازی کند.
پژوهشگران ESET و مالوربایتس مشاهده کردند که مهاجمان از ماه آگوست سال ۲۰۱۸ میلادی این بدافزار را به همراه نسخههای کرکشدهی نرمافزار VST (Virtual Studio Technology) از طریق شبکهی تورنت در اینترنت توزیع میکنند. پژوهشگران ESET بیان کردند که با توجه به ماهیت برنامههای مورد هدف، مشاهده میشود که هدف مهاجمان به محصولات صوتی مرتبط است؛ بنابراین ماشینهای مجازی که نصب میشوند، باید قدرت پردازشی خوبی داشته باشند و مصرف بالای پردازشگر کاربران را متعجب نخواهد کرد.
پژوهشگران نسخههای مخرب مختلفی از ۱۳۷ برنامهی مرتبط با VST یافتهاند که ۴۲ مورد آنها برای ویندوز و ۹۵ مورد برای سیستم عامل macOS است. در سیستمهای macOS، این نرمافزار اسکریپتهای شل مختلفی را اجرا میکند و از ابزار متنباز Quick Emulator (QEMU) برای راهاندازی سیستم عامل لینوکس مجازی استفاده میکند و برای ویندوز به VirtualBox وابسته است. این بدافزار پس از نصب و فعالسازی، با نصب فایلهای اضافی و راهاندازی ماشینهای مجازی در پسزمینه، در سیستم ماندگار میشود.
مهاجمان ایمیجهای سیستم عامل لینوکس را از قبل پیکربندی کردهاند تا نرمافزار استخراج رمزارز بهصورت خودکار در استارتاپ و بدون نیاز به ورود کاربر و اتصال به سرورهای دستور و کنترل نفوذگران راهاندازی شود. ایمیج Tiny Core 9.0 لینوکس برای اجرای XMRig و برخی فایلها و اسکریپتها پیکربندی شده است تا بهطور مداوم بدافزار استخراج رمزارز را بهروز نگه دارد.
این بدافزار میتواند دو ایمیج را بهطور همزمان اجرا کند که هر کدام ۱۲۸ مگابایت از حافظهی RAM و یک هستهی پردازشگر را بهمنظور استخراج همزمان اشغال میکنند؛ یعنی این بدافزار بیش از نیاز خود از منابع استفاده میکند. این حمله دلیل خوبی برای این مسأله است که چرا کاربران هرگز نباید به نرمافزارهای غیررسمی و کرکشدهی موجود در اینترنت اعتماد کنند.
