loudminer

LoudMiner: Un Malware Linux cible MacOS et Windows via émulation

Les chercheurs en cybersécurité d’au moins deux firmes différentes ont révélé les détails d’un nouveau malware (LoudMiner) qui cible les systèmes Windows et macOS avec un malware de minage de cryptomonnaie basé sur Linux.

Nommé “LoudMiner” ou encore “Bird Miner,” l’attaque utilise un logiciel de virtualisation en ligne de commande des systèmes ciblés pour booter une image du système d’exploitation Tiny Core Linux qui contient un logiciel de minage de cryptomonnaie activé par le hacker.

Intéressante manière d’utiliser l’émulation pour exécuter le même malware sur différentes plateformes.

Découvert par les chercheurs de ESET et Malwarebytes, les hackers distribuent ce malware avec des copies piratées du logiciel VST (Virtual Studio Technology) sur Internet et via le réseau Torrent depuis Août 2018.

Les applications VST contiennent des sons, des effets, des synthétiseurs, et d’autres fonctionnalités avancées qui permettent aux professionnels de l’audio de créer de la musique.

Les chercheurs ont trouvé différentes versions de près de 137 applications liées à VST, 42 d’entre elles ciblent Windows et 95 ciblent la plateforme macOS, y compris Propellerhead Reason, Ableton Live, Sylenth1, Nexus, Reaktor 6 et AutoTune.

loudminer linux malware

Comment fonctionne LoudMiner?

Pour les systèmes macOS, le logiciel exécute plusieurs scripts shell et utilisent l’utilité Quick Emulator (QEMU) pour lancer la machine virtuelle Linux, et pour Windows, le malware utilise VirtualBox pour l’émulation.

Une fois installée et activée, LoudMiner gagne aussi en persistance sur le système en installant des fichiers additionnels et lancent ensuite des machines virtuelles en arrière-plan.

Ces images Linux ont été pré-configuré par les hackers pour lancer automatiquement le logiciel de minage de cryptomonnaie au démarrage sans que l’utilisateur s’authentifie et se connecte aux serveurs command-and-control du hacker.

“Le fichier OVF inclut dans l’image Linux décrit la configuration hardware de la machine virtuelle: il utilise 1Go de RAM et 2 cœurs du CPU (avec un usage maximum de 90%),” ont déclaré les chercheurs d’ESET.

“L’image Linux est Tiny Core Linux 9.0 configuré pour exécuter XMRig, ainsi que quelques fichiers et scripts pour garder le mineur à jour continuellement.”

Le malware LoudMiner peut exécuter deux images au même moment, chacune utilisant 128 Mo de RAM et un cœur de CPU pour miner simultanément.

“Le fait que le malware exécute deux mineurs séparés, chacun s’exécutant depuis leur propre fichier d’image Qemu de 130 Mo, signifie que le malware utilise plus de ressources que nécessaire.” a déclaré Malwarebytes.

Cette attaque prouve que le téléchargement de logiciels piratés sur Internet n’est pas vraiment une bonne idée. Restez prudents.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de