Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Bisnis
  • LoudMiner Malware Cross Platform Penambangan Kripto
  • Sektor Bisnis

LoudMiner Malware Cross Platform Penambangan Kripto

3 min read

Credit image: Pixabay

Ada sebuah kasus penambangan mata uang kripto yang menarik terjadi belum lama ini, LoudMiner yang didistribusikan untuk Windows dan macOS dengan menggunakan perangkat lunak virtualisasi QEMU pada macOS dan VirtualBox pada Windows untuk menambang cryptocurrency pada mesin virtual Tiny Core Linux, membuatnya lintas platform.

Kemunculannya dibundel dengan salinan perangkat lunak VST bajakan. Penambang itu sendiri didasarkan pada XMRig (Monero) dan menggunakan kumpulan penambangan, sehingga tidak mungkin untuk menelusuri kembali potensi transaksi.

Saat ini ada 137 aplikasi terkait VST (42 untuk Windows dan 95 untuk macOS) tersedia di situs web berbasis WordPress tunggal dengan domain terdaftar pada 24 Agustus 2018. Aplikasi pertama, Kontakt Native Instruments 5.7 untuk Windows diunggah pada hari yang sama. Ukuran aplikasi membuatnya tidak praktis untuk menganalisis semuanya, tetapi tampaknya aman untuk menganggap mereka semua adalah Trojanized.

Aplikasi itu sendiri tidak di-host di situs berbasis WordPress, tetapi pada 29 server eksternal yang dapat ditemukan di bagian IoC. Admin situs juga sering memperbarui aplikasi dengan versi yang lebih baru, sehingga sulit untuk melacak versi pertama penambang.

Mengenai sifat aplikasi yang ditargetkan, menarik untuk mengamati bahwa tujuan mereka terkait dengan produksi audio, dengan demikian, mesin yang mereka instal harus memiliki daya pemrosesan yang baik dan konsumsi CPU yang tinggi tidak akan mengejutkan pengguna. Selain itu, aplikasi ini biasanya kompleks, sehingga tidak terduga bagi mereka untuk menjadi file besar. Pelaku memanfaatkan ini sebagai keuntungan mereka untuk menyamarkan gambar VM. Selain itu, keputusan untuk menggunakan mesin virtual ketimbang menggunakan solusi yang lebih ramping sangat luar biasa dan ini bukan sesuatu yang bisa kita lihat setiap hari.

Analisis Aplikasi Bajakan

Analisis macOS dan Windows sama:

  • Sebuah aplikasi dibundel dengan perangkat lunak virtualisasi, gambar Linux dan file tambahan yang digunakan untuk persistensi.
  • Pengguna mengunduh aplikasi dan mengikuti instruksi terlampir tentang cara menginstalnya. LoudMiner diinstal terlebih dahulu, perangkat lunak VST yang sebenarnya setelahnya.
  • LoudMiner menyembunyikan dirinya dan persisten saat reboot.
  • Mesin virtual Linux diluncurkan dan penambangan dimulai.
  • Skrip di dalam mesin virtual dapat menghubungi server C&C untuk memperbarui penambang (konfigurasi dan binari).

Saat menganalisis berbagai aplikasi, ESET telah mengidentifikasi empat versi penambang, sebagian besar didasarkan pada bagaimana ia dibundel dengan perangkat lunak aktual, domain server C&C, dan sesuatu yang ESET yakini adalah string versi yang dibuat oleh pengambang malware.

macOS

ESET telah mengidentifikasi tiga versi macOS dari malware tersebut sejauh ini. Semuanya termasuk dependensi yang diperlukan untuk menjalankan QEMU di installerdata.dmg dari mana semua file disalin ke/usr/local/bin dan memiliki izin yang sesuai yang ditetapkan. Setiap versi penambang dapat menjalankan dua gambar sekaligus, masing-masing mengambil 128 MB RAM dan satu inti CPU. Persistensi dicapai dengan menambahkan file plist di /Library/LaunchDaemons dengan RunAtLoad disetel ke true. Mereka juga memiliki KeepAlive yang disetel ke true, memastikan proses akan dimulai kembali jika dihentikan. Setiap versi memiliki komponen ini:

  • Gambar QEMU Linux.
  • Skrip shell yang digunakan untuk meluncurkan gambar QEMU.
  • Daemon digunakan untuk memulai skrip shell saat boot dan membuatnya tetap berjalan.
  • Skrip shell monitor CPU dengan daemon yang menyertainya yang dapat memulai/menghentikan penambangan berdasarkan penggunaan CPU dan apakah proses Monitor Aktivitas berjalan.

Windows

Dari string yang diekstrak dari aplikasi, ESET mendefinisikan satu-satunya versi Windows yang terlihat sejauhin sebagai versi 4. Seperti yang kami sebutkan sebelumnya, logikanya sangat mirip dengan versi macOS. Setiap aplikasi Windows dikemas sebagai penginstal MSI yang menginstal kedua aplikasi “crack”, dengan popup trust untuk menginstal driver VirtualBox ketika menjalankan installer VST “cracked” dari vstcrack [.] Com.

VirtualBox diinstal dalam nama foldernya yang biasa (C:\Program Files\Oracle); Namun, atribut direktori diatur ke “hidden”. Kemudian installer menyalin gambar Linux dan VBoxVmService yaitu layanan Windows yang digunakan untuk menjalankan mesin virtual VirtualBox sebagai layanan ke C:\vms, yang juga merupakan direktori tersembunyi. Setelah penginstalan selesai, penginstal menjalankan skrip batch yang dikompilasi dengan BAT2EXE untuk mengimpor gambar Linux dan menjalankan VmServiceControl.exe untuk memulai mesin virtual sebagai layanan.

Mitigasi

Saran terbaik untuk melindungi diri dari ancaman semacam ini adalah tidak mengunduh salinan perangkat lunak komersial bajakan. Namun, ada beberapa petunjuk yang dapat membantu Anda mengidentifikasi kapan suatu aplikasi berisi kode yang tidak diinginkan:

  • Munculan trust dari installer “tambahan” yang tidak terduga (dalam hal ini adaptor jaringan Oracle).
  • Konsumsi CPU tinggi oleh proses yang tidak Anda instal (QEMU atau VirtualBox dalam kasus ini).
  • Layanan baru ditambahkan ke daftar layanan startup (Windows) at Daemon (macOS).
  • Koneksi jaringan ke nama domain yang ingin tahu (seperti layanan pembaruan [.] Info atau layanan pemeriksaan sistem [.] Di sini).






Sumber berita:

www.welivesecurity.com










Tags: Antivirus ESET Antivirus Super Ringan Antivirus Terbaik BacaPikirshare Cryptocurrency ESET Loudminer Malware Cross Platform Prosperita Qemu Riset ESET Tambang Kripto VirtualBox

Continue Reading

Previous: Malware Newbie Gunakan Teknik By Pass 2FA Gaya Baru
Next: Sejauh Apa Tingkat Pengetahuan dan Pemahaman Siber Indonesia? Ini Hasil Risetnya

Related Stories

Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025
Membongkar Rahasia Cara Kerja VPN Membongkar Rahasia Cara Kerja VPN
6 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Membongkar Rahasia Cara Kerja VPN

June 2, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025

Recent Posts

  • Penipuan DocuSign Jangan Sampai Data Anda Dicuri
  • Membongkar Rahasia Cara Kerja VPN
  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber
  • Waspada Aplikasi Ledger Palsu Mengincar Pengguna macOS
  • ESET Gabung Operasi Endgame Lumpuhkan Danabot
  • Panggilan Palsu Senjata Baru Pencurian Data

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Penipuan DocuSign Jangan Sampai Data Anda Dicuri Penipuan DocuSign Jangan Sampai Data Anda Dicuri
5 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Penipuan DocuSign Jangan Sampai Data Anda Dicuri

June 2, 2025
Membongkar Rahasia Cara Kerja VPN Membongkar Rahasia Cara Kerja VPN
6 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Membongkar Rahasia Cara Kerja VPN

June 2, 2025
Mengelola dan Melindungi Jejak Digital Mengelola dan Melindungi Jejak Digital
3 min read
  • Teknologi

Mengelola dan Melindungi Jejak Digital

May 28, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025

Copyright © All rights reserved. | DarkNews by AF themes.