Вредоносная программа имитирует Linux в поисках криптовалюты.
Новый вариант вредоносного ПО для майнинга криптовалют под названием Bird Miner, разработанный для Apple Mac, нацелен на пользователей пиратского программного обеспечения.
Хотя вредоносное ПО для майнинга криптовалюты, также известное как программное обеспечение для криптоджекинга, не является чем-то новым, в этом Определенный штамм вредоносного кода имеет интересную особенность: вредоносное ПО запускается путем эмуляции Линукс на Маке.
Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше
Вредоносная программа, обнаруженная как OSX.BirdMiner, была обнаружена во взломанном установщике Ableton Live 10, программного обеспечения, используемого при производстве музыки, Malwarebytes. сказано в сообщении в блоге в четверг.
По мнению исследователей, нелегальный установщик и взломанная версия программного обеспечения можно загрузить с пиратского сайта VST.
Трескаться. Учитывая, что программное обеспечение используется для создания высококачественной музыки, размер файла в 2,6 ГБ может оказаться недопустимым. от потенциальных жертв, но там тайно находится Bird Miner, который немедленно начинает работу над установить.
Установщик скрывает файлы в приложении и общих каталогах, в том числе со случайными именами.
Хотя установщик генерирует случайные имена из специального сценария списка слов, некоторые фразы избегаются, в частности термины, с которыми многие из нас не хотели бы ассоциироваться, такие как «нацист» и «Гитлер», несмотря на их появление на список.
В число удаленных файлов входят демоны, которым поручено запускать сценарии оболочки, включая Crax, систему, которая сканирует Activity Monitor, средство проверки процессов Mac.
Смотрите также: Facebook представляет криптовалюту Libra: убийца биткойнов?
Если программное обеспечение используется, то вредоносное ПО пытается «разгрузить другие процессы», говорит Malwarebytes, вероятно, пытаясь избежать обнаружения.
Если монитор активности не активен, Bird Miner запускает серию проверок процессора. Мощность процессора необходима для успешного майнинга криптовалюты, и если загрузка процессора превышает 85 процентов, вредоносное ПО выйдет из строя.
Однако любое значение меньше 85 процентов приведет к запуску демонов запуска Pecora и Krugerite, которые отдельно загружают исполняемые файлы.
Один из исполняемых файлов называется Nigel и представляет собой старую версию программного обеспечения-эмулятора с открытым исходным кодом под названием Qemu. Эта форма программного обеспечения виртуализации с командной строкой использует гипервизор Apple для запуска исполняемого файла Linux на основе образа — Tiny Core, размещенного в другом загруженном файле под названием Poaceae.
Образ также содержит файл mydata.tgz, который обеспечивает загрузку определенных процессов при запуске, включая XMRig, майнер криптовалюты Monero (XMR).
Поскольку сценарии загружают эти файлы по отдельности, жертвы могут столкнуться с тем, что одновременно работают два майнера.
«Как только система Tiny Core загружается, XMRig запускается без необходимости входа пользователя в систему», — говорят исследователи.
Техреспублика: Как реагировать на фишинговые письма: 6 шагов для администраторов G Suite
С момента первоначального обнаружения были обнаружены и другие примеры вредоносного ПО, спрятанного во взломанных установщиках VST Crack. Вполне вероятно, что Bird Miner находится в обращении уже как минимум четыре месяца.
Скрывать майнер в загрузочном образе — это несколько скрытно, но исследователи говорят, что, учитывая огромный размер вредоносных программ и возможности эмулировать, а не запускать как собственный код, Bird Miner «скрытно стреляет себе в ногу».
vrenture.com/: Тексты экстренных предупреждений президента могут быть подделаны, говорят исследователи
«Тот факт, что Bird Miner был создан таким образом, вероятно, указывает на то, что автор, вероятно, знаком с Linux, но не особенно хорошо разбирается в macOS», — говорит Malwarebytes. «Хотя этот метод сбивает с толку самого майнера, что может помочь вредоносному ПО избежать обнаружения, это преимущество этому противостоит использование сценариев оболочки и необходимость запуска не одного, а двух майнеров одновременно в эмуляция».
Худшие мошенничества с криптовалютами и кибератаки в 2018 году (в картинках)
Предыдущее и связанное освещение
-
Открытые хосты Docker могут быть использованы для атак криптоджекинга
-
Хакеры-преступники возвращаются с ботнетом для добычи криптовалюты
-
Рыбные пруды замаскировали кражу ресурсов нефтяных месторождений в схеме майнинга криптовалюты
Есть подсказка? Безопасная связь через WhatsApp | Позвоните по номеру +447713 025 499 или по телефону Keybase: charlie0.