Ada sebuah kasus penambangan mata uang kripto yang menarik terjadi belum lama ini, LoudMiner yang didistribusikan untuk Windows dan macOS dengan menggunakan perangkat lunak virtualisasi QEMU pada macOS dan VirtualBox pada Windows untuk menambang cryptocurrency pada mesin virtual Tiny Core Linux, membuatnya lintas platform.
Kemunculannya dibundel dengan salinan perangkat lunak VST bajakan. Penambang itu sendiri didasarkan pada XMRig (Monero) dan menggunakan kumpulan penambangan, sehingga tidak mungkin untuk menelusuri kembali potensi transaksi.
Saat ini ada 137 aplikasi terkait VST (42 untuk Windows dan 95 untuk macOS) tersedia di situs web berbasis WordPress tunggal dengan domain terdaftar pada 24 Agustus 2018. Aplikasi pertama, Kontakt Native Instruments 5.7 untuk Windows diunggah pada hari yang sama. Ukuran aplikasi membuatnya tidak praktis untuk menganalisis semuanya, tetapi tampaknya aman untuk menganggap mereka semua adalah Trojanized.
Aplikasi itu sendiri tidak di-host di situs berbasis WordPress, tetapi pada 29 server eksternal yang dapat ditemukan di bagian IoC. Admin situs juga sering memperbarui aplikasi dengan versi yang lebih baru, sehingga sulit untuk melacak versi pertama penambang.
Mengenai sifat aplikasi yang ditargetkan, menarik untuk mengamati bahwa tujuan mereka terkait dengan produksi audio, dengan demikian, mesin yang mereka instal harus memiliki daya pemrosesan yang baik dan konsumsi CPU yang tinggi tidak akan mengejutkan pengguna. Selain itu, aplikasi ini biasanya kompleks, sehingga tidak terduga bagi mereka untuk menjadi file besar. Pelaku memanfaatkan ini sebagai keuntungan mereka untuk menyamarkan gambar VM. Selain itu, keputusan untuk menggunakan mesin virtual ketimbang menggunakan solusi yang lebih ramping sangat luar biasa dan ini bukan sesuatu yang bisa kita lihat setiap hari.
Analisis aplikasi bajakan
Analisis macOS dan Windows sama:
- Sebuah aplikasi dibundel dengan perangkat lunak virtualisasi, gambar Linux dan file tambahan yang digunakan untuk persistensi.
-
Pengguna mengunduh aplikasi dan mengikuti instruksi terlampir
tentang cara menginstalnya.
LoudMiner diinstal terlebih dahulu, perangkat lunak VST yang sebenarnya setelahnya. - LoudMiner menyembunyikan dirinya dan persisten saat reboot.
- Mesin virtual Linux diluncurkan dan penambangan dimulai.
- Skrip di dalam mesin virtual dapat menghubungi server C&C untuk memperbarui penambang (konfigurasi dan binari).
Saat menganalisis berbagai aplikasi, ESET telah mengidentifikasi empat versi penambang, sebagian besar didasarkan pada bagaimana ia dibundel dengan perangkat lunak aktual, domain server C&C, dan sesuatu yang ESET yakini adalah string versi yang dibuat oleh pengambang malware.
macOS
ESET telah mengidentifikasi tiga versi macOS dari malware tersebut sejauh ini. Semuanya termasuk dependensi yang diperlukan untuk menjalankan QEMU di installerdata.dmg dari mana semua file disalin ke/usr/local/bin dan memiliki izin yang sesuai yang ditetapkan. Setiap versi penambang dapat menjalankan dua gambar sekaligus, masing-masing mengambil 128 MB RAM dan satu inti CPU. Persistensi dicapai dengan menambahkan file plist di /Library/LaunchDaemons dengan RunAtLoad disetel ke true. Mereka juga memiliki KeepAlive yang disetel ke true, memastikan proses akan dimulai kembali jika dihentikan. Setiap versi memiliki komponen ini:
- Gambar QEMU Linux.
- Skrip shell yang digunakan untuk meluncurkan gambar QEMU.
- Daemon digunakan untuk memulai skrip shell saat boot dan membuatnya tetap berjalan.
- Skrip shell monitor CPU dengan daemon yang menyertainya yang dapat memulai/menghentikan penambangan berdasarkan penggunaan CPU dan apakah proses Monitor Aktivitas berjalan.
Windows
Dari string yang diekstrak dari aplikasi, ESET mendefinisikan satu-satunya versi Windows yang terlihat sejauhin sebagai versi 4. Seperti yang kami sebutkan sebelumnya, logikanya sangat mirip dengan versi macOS. Setiap aplikasi Windows dikemas sebagai penginstal MSI yang menginstal kedua aplikasi “crack”, dengan popup trust untuk menginstal driver VirtualBox ketika menjalankan installer VST “cracked” dari vstcrack [.] Com.
VirtualBox diinstal dalam nama foldernya yang biasa (C:\Program Files\Oracle); Namun, atribut direktori diatur ke “hidden”. Kemudian installer menyalin gambar Linux dan VBoxVmService yaitu layanan Windows yang digunakan untuk menjalankan mesin virtual VirtualBox sebagai layanan ke C:\vms, yang juga merupakan direktori tersembunyi. Setelah penginstalan selesai, penginstal menjalankan skrip batch yang dikompilasi dengan BAT2EXE untuk mengimpor gambar Linux dan menjalankan VmServiceControl.exe untuk memulai mesin virtual sebagai layanan.
Mitigasi
Saran terbaik untuk melindungi diri dari
ancaman semacam ini adalah tidak mengunduh salinan perangkat lunak
komersial bajakan. Namun, ada beberapa petunjuk yang dapat membantu
Anda mengidentifikasi kapan suatu aplikasi berisi kode yang tidak
diinginkan:
- Munculan trust dari installer “tambahan” yang tidak terduga (dalam hal ini adaptor jaringan Oracle).
- Konsumsi CPU tinggi oleh proses yang tidak Anda instal (QEMU atau VirtualBox dalam kasus ini).
- Layanan baru ditambahkan ke daftar layanan startup (Windows) atau Daemon (macOS).
- Koneksi jaringan ke nama domain yang ingin tahu (seperti layanan pembaruan [.] Info atau layanan pemeriksaan sistem [.] Di sini).
Sumber berita:
www.welivesecurity.com
