Аналитики компании ESET обнаружили майнера LoudMiner, ориентированного как на macOS, так и на Windows. Интересно, что малварь маскируется под различные пиратские приложения для работы со звуком. Например, в качестве приманки выступали такие популярные решения, как Ableton Live, Nexus, Reaktor 6, Propellerhead Reason, Virtual Studio Technology и ряд других.
Судя по всему, использование таких программ в качестве наживки обусловлено тем, что пользователь может долгое время не замечать присутствие майнера: программы для работы со звуком значительно увеличивают нагрузку на процессор, поэтому жертва может не обратить внимания, что на самом деле ее система майнит криптовалюту.
В общей сложности исследователи обнаружили 137 вредоносных приложений, связанных с VST (42 для Windows и 95 для macOS), доступных на одном WordPress-сайте, чьей домен был зарегистрирован 24 августа 2018 года. Первое приложение (Kontakt Native Instruments 5.7 для Windows) было загружено в тот же день. Экспертам удалось выделить три версии малвари, предназначенные для macOS, и одну для Windows.
При этом сами вредоносные приложения размещаются не на этом сайте, а на 29 внешних серверах, а операторы малвари часто обновляют приложения новыми версиями, что затрудняет отслеживание самой первой версии майнера.
В случае macOS майнер использует ПО для виртуализации QEMU, а заражая Windows-системы прибегает к помощи VirtualBox.
Для майнинга используется виртуальная машина Tiny Core Linux, настроенная для запуска XMRig, а также способная поддерживать связь с C&C-сервером злоумышленников для получения своевременных обновлений и инструкций. Все это позволило сделать угрозу кроссплатформенной и добывать криптовалюту Monero на разных операционных системах.
Исследователи отмечают, что лучшая защита от таки угроз: не загружать пиратские копии коммерческого ПО.