网络安全公司ESET发现“不寻常”虚拟机加密挖掘的威胁

 
自2018年8月以来，网络安全公司ESET已经检测到它所描述的为macOS和Windows分发的不寻常和持久的低温货币矿工。该消息在ESET Research于6月20日发布的一份报告中公布。
据ESET称，这种名为“LoudMiner”的新恶意软件使用虚拟化软件 – Windows上的VirtualBox和macOS上的QEMU – 在Tiny Core Linux虚拟机上挖掘加密，从而有可能跨多个操作系统感染计算机。
据报道，矿工本身使用XMRig–一种用于挖掘以隐私为重点的山寨地铁(XMR)的开源软件 – 以及一个采矿池，因此据称阻碍了研究人员追溯交易的尝试。
研究显示，对于macOS和windows，矿工都在盗版应用程序中运行，这些应用程序与虚拟化软件，Linux映像和其他文件捆绑在一起。
下载后，LoudMiner会在所需的软件本身之前安装，但会隐藏自身，并且只有在重启后才会变得持久。
ESET指出，该矿工的目标是与音频制作相关的应用，这些应用通常在具有强大处理能力的计算机上运行，并且CPU消耗量高 – 在这种情况下由隐形加密挖掘引起 – 可能不会使用户感到可疑。
此外，攻击者据称利用了这样一个事实：这种复杂的应用程序通常很复杂而且很大，以便隐藏他们的虚拟机映像。研究人员补充说：
“决定使用虚拟机而不是更精简的解决方案是非常了不起的，这不是我们经常看到的。”
ESET已经确定了针对macOS系统的三个矿工，目前为止只有一个针对Windows。
作为对用户的警告，研究人员表示，“显然，防范此类威胁的最佳建议是不下载商业软件的盗版副本。”
尽管如此，除了高CPU消耗外，它们还提供了一些提示，以帮助用户检测可能出现问题的内容，包括来自意外的“附加”安装程序的信任弹出窗口，或添加到启动服务列表(Windows)或新启动守护程序的新服务(苹果系统)。
研究人员补充说，与异常域名的网络连接 – 由于虚拟机内的脚本与C&C服务器联系以更新矿工的配置 – 是另一个赠品。